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近 些 年 来 ,国内 外 Web 网 站 安全 领域 的 问题 纷繁 复杂 ,各 种 攻击 手段 层出不穷 ,给 人 以 “ 乱 花 渐 欲 
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为 实施 国家 安全 战略 ,加 快 网 络 空间 安全 高 层次 人 才 培 养 ,2015 年 6 
月 “网 络 空间 安全 ”已 正式 被 教育 部 批准 为 国家 一 级 学 科 。 

Web 的 开放 与 普及 性 ,导致 目前 世界 网 络 空间 70 中 以 上 的 安全 问题 都 
来 自 Web 安全 攻击 。 当 前 国内 与 国际 Web 安全 资料 鱼龙混杂 ,国内 还 没有 
一 本 全 面 讲解 Web 安全 网 站 漏洞 扫描 与 渗透 攻击 工具 的 书 。 这 也 是 本 书 出 
版 的 最 主要 原因 。 因 为 全 球 范 围 内 做 Web 安全 攻击 的 成 员 中 ,70% 以 上 的 
人 并 不 真正 懂 软 件 开发 ,他 们 只 是 用 各 种 攻击 工具 就 能 把 网 站 攻破 ,所 以 懂 
得 使 用 这 些 工具 ,有 助 于 构建 更 为 安全 可 信 的 网 络 体系 。 

由 于 作者 参与 研发 的 在 线 会 议 系 统 直接 面向 国际 市 场 , 典 型 客户 包括 
世界 著名 的 银行 金融 机 构 IT 企业 .通信 公司 .政府 部 门 等 ,这 使 得 作者 早 
在 十 多 年 前 就 可 以 接触 到 国际 上 最 前 沿 的 各 类 Web 安全 攻击 方式 ,研究 每 
种 攻击 方式 会 给 网 站 或 客户 可 能 带 来 的 损害 ,以 及 针对 每 种 攻击 的 最 佳 解 
决 方案 。 

多 年 来 ,作者 一 直 活 跃 在 各 种 Web 安全 问题 的 解决 方案 上 ,力图 从 系统 
设计 、 产 品 代码 、 软 件 测试 与 运营 维护 多 个 角度 全 方位 打造 安全 的 产品 体 
Re BRE Web 安全 领域 “破坏 总 比 创建 容易 ”, 作 者 也 曾 为 寻找 某 类 攻击 
最 佳 解决 方案 费 尽心 思 , 但 在 Web 安全 求 真 求实 的 路 上 从 不 忘 初 心 。 令 人 
欣慰 的 是 ,这 世上 ”方法 总 比 困难 多 ”。 

国际 上 对 Web 安全 的 研究 在 十 多 年 前 就 已 经 开始 ,国内 对 这 一 领域 重 
视 始 于 近 几 年 ,习近平 总 书记 “把 我 国 从 网 络 大 国 建设 成 为 网 络 强国 ”,“ 没 
有 网 络 安全 就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 ”的 讲话 ,让 作者 感 
受到 责任 重大 。 当 前 ,国内 与 国际 Web 安全 领域 的 问题 纷繁 复杂 、 乱 象 从 
生 , 各 种 攻击 方式 层出不穷 ,局 内 人 看 似 “ 黑 云 压 城 城 欲 挫 ”, 局 外 人 看 似 “ 乱 
花 渐 欲 迷人 有 眼 ”。 作 者 希望 通过 努力 ,使 读者 做 到 “ 拨 开 云雾 始 见 天 ”。 

为 了 达到 这 个 目的 ,作者 准备 将 十 多 年 在 工业 界 的 实战 经 验 以 及 对 国 
际 与 国内 Web 安全 领域 的 研究 ,分 三 个 阶段 与 层次 展示 出 来 。 

第 一 阶段 : 对 目前 国际 上 流行 的 Web 安全 工具 的 使 用 进行 深层 剖析 与 揭 
秘 。 要 知道 ,在 Web 安全 攻击 层面 上 ,70% 以 上 的 人 都 不 擅长 计算 机 编程 ,他 
们 只 是 选择 一 些 工 具 , 就 能 轻而易举 地 攻破 网 站 防线 。 流 行 工具 的 使 用 能 够 
方便 网 站 开发 与 维护 者 ,在 网 站 被 “ 黑 ? 之 前 ,能 有 针对 性 地 做 些 必 要 的 防护 。 
为 此 目的 最 终 形成 本 书 。 相 应 网 站 为 http://books. rogisoft. com/wstool。 


Ne/ Vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


因为 工具 大 多 是 通过 模式 匹配 做 成 的 , 像 0 day 攻击 之 类 ,或 与 网 站 自身 业务 逻辑 相 
X ,或 网 站 身份 权限 定义 复杂 等 等 ,属于 网 站 特有 的 情况 ,用 工具 也 帮 不 了 什么 忙 。 工 具 
一 般 只 能 解决 网 站 30% 左 右 的 漏洞 攻防 ,所 以 对 于 研发 更 为 安全 的 Web 网 站 还 需要 做 
进一步 的 深入 研究 。 

第 二 阶段 : 深入 分 析 目 前 能 见 到 的 各 种 Web 安全 间 题 的 攻击 方法 、 攻 击 面 \ 涉 及 的 技 
RAA Web 安全 问题 的 手动 或 工具 验证 技巧 ,以 及 从 代码 的 角度 如 何 进行 有 效 的 防护 ,最 
终 准备 编写 《Web 安全 开发 与 测试 ) 一 书 , 相 应 网 站 为 http://books. roqisoft. com/ wsdt。 

仅 从 Web 安全 开发 与 测试 的 角度 去 做 Web 安全 还 不 够 ,应 该 建立 一 个 有 效 的 防护 
机 制 ,而 不 只 是 对 原 有 的 系统 安全 漏洞 不 停 地 修 修补 补 ,一 旦 有 新 的 攻击 入 侵 就 如 临 大 
敌 。 没 有 一 个 安全 的 架构 ,没有 主动 预防 与 预警 机 制 , Web 安全 就 会 变 得 很 被 动 。 

第 三 阶段 : 从 安全 设计 、 安 全 开发 、 安 全 测试 、 安 全 运行 维护 等 多 层次 、 多 角度 、 全 方 
位 实施 安全 策略 ,努力 做 到 全 面 防护 Web 安全 ,最 终 准备 编写 Web 安全 360 度 全 面 防 
护 》 一 书 , 相 应 网 站 为 http://books. roqisoft. com/ws360。 

对 Web 安全 的 深入 研究 ,让 作者 体会 到 其 深 图 的 内 涵 ,如 果 仅 用 一 本 书 , 很 难 将 其 表 
达 得 淋漓 尽 致 ,讲述 得 层次 分 明 , 所 以 将 Web 安全 方面 的 研究 划分 为 以 上 三 个 阶段 。 和 希 
望 这 三 阶段 的 研究 成 果 能 为 国内 的 Web 安全 研究 打下 良好 的 基础 ,能 引领 国内 Web 安 
全 研究 人 员 从 国际 视野 看 Web 安全 ,并 研讨 其 最 佳 解决 方案 。 


本 书 篇 章 安排 


本 书 从 国际 视野 研究 Web 安全 , 精 选 国际 知名 的 13 种 网 站 漏洞 扫描 与 渗透 攻击 流 
行 工具 进行 揭秘 ,对 Web 安全 攻防 有 很 好 的 借鉴 作用 。 全 书 共 分 14 章 , 具 体内 容 如 下 ， 

第 1 章 : 从 国际 视野 看 Web 安全 。 

第 2 章 : 网 站 漏洞 扫描 与 综合 类 渗透 测试 工具 ZAP, 

4 33. Web 安全 扫描 与 安全 审计 工具 AppScan。 

第 4 章 : 分 析 使 用 HTTP 和 HTTPS 协议 通信 工具 WebScarab, 

第 5 章 : 数据 库 注 入 渗透 测试 工具 Pangolin, 

第 6 章 : 安全 漏洞 检查 与 渗透 测试 工具 Metasploit, 

73k; Web 浏览 器 渗透 攻击 工具 BeEF。 

第 8 章 : 网 络 发 掘 与 安全 审计 工具 Nmap, 

# 9#: Web 服务 器 扫描 工具 Nikto. 

第 10 章 : Web 服务 器 指纹 识别 工具 Httprint。 

第 11 章 : 遍历 Web 应 用 服务 器 目录 与 文件 工具 DirBuster。 

第 12 章 : Web 应 用 程序 攻击 与 审计 框架 waf. 

第 13 章 : 网 络 封包 分 析 软 件 Wireshark. 

4 14 3E; 攻击 Web 应 用 程序 集成 平台 Burp Suite, 


作者 与 贡献 者 
本 书 由 王 顺 策划 与 主编 ,为 使 所 研究 的 Web 安全 工具 特色 鲜明 、 领 域 领先 ,本 书 中 的 


车 
ol 


13 个 工具 由 王 顺 精 心 选取 。 为 了 使 读者 在 不 同 程度 上 通过 本 书 受 益 , 对 本 书 中 所 有 工具 
的 攻防 实验 与 试验 结果 进行 整理 分 析 的 人 员 既 有 国际 知名 IT 公司 的 软件 架构 师 、 资 深 
ITEM. Web 安全 工程 师 , 也 有 国内 大 学 博士 硕士 研究 生 , 形 成 一 个 极 富 战斗 力 的 Web 
安全 研究 团队 和 一 个 配备 优良 的 科研 梯队 。 

为 了 使 Web 安全 攻防 工具 的 实验 结果 可 以 重复 出 现 , 本 书 收录 的 13 个 工具 三 轮 试 
验 分 别 由 以 下 成 员 完成 。 

第 一 轮 工 具 攻 防 试验 (试验 结果 收集 与 文档 整理 ): Nikto, Httprint、 DirBuster、 
Wireshark 工具 由 王 顺 完成 ,Zap、AppScan、WebScarab 工具 由 闫 玉 红 完成 ,Panglin 工具 
由 严 兴 莉 完成 ,Metasploit 工具 由 李 利平 完成 ,BeEF TA HKEE ER, Nma 工具 由 董 
燕 完 成 ,W3AF 工具 由 刘 倩 调 完 成 ,Burp Suite 工具 由 李 林 完成 。 

第 二 轮 工具 攻防 试验 (试验 结果 对 比 与 文档 修订 ): Httprint, DirBuster, Pangolin, 
Metasploit, BeEF 工具 由 王 顺 完成 ,Zap 工具 由 王 璐 完成 ,AppScan、Wireshark 工具 由 严 
兴 莉 完成 ,WebScarab 工具 由 胡 绵 军 完 成 ,Nmap、W3AF IF h ER ZR, Nikto 工具 由 
李 林 完成 ,Burpsuite 工具 由 李 利 平 完成 。 

第 三 轮 工具 攻防 试验 (试验 结果 对 比 与 文档 修订 ): WebScarab, Pangolin, Metasploit 
工具 由 王 顺 完成 ,Nmap、BeEF 工具 由 张 殿 香 完成 ,Nikto 工具 由 李 林 完成 , W3AF 工具 由 
EM ER Wireshark 工具 由 严 兴 痢 完成 ,Burp Suite 工具 由 李 利 平 完成 。 

同时 ,为 保证 Web 安全 工具 三 轮 的 攻防 实验 与 试验 结果 的 整理 分 析 风 格 统一 、 过 渡 
自然 ,便于 阅读 , 王 顺 认真 组 织 了 内 部 三 轮 审阅 与 修订 ,以 保证 本 书 的 出 版 质量 。 


书 中 使 用 的 各 大 系统 


Web 安全 研究 的 目的 是 要 构建 更 为 安全 可 信 的 网 络 体系 。 同 时 ,我 们 也 应 看 到 ， 
Web 安全 是 把 双 刃 剑 , 如 果 不 遵守 国家 相关 法 律 、 法 规 , 就 容易 走向 犯罪 的 道路 。 本 书 中 
各 种 工具 演示 攻击 的 系统 都 是 选 自 国 外 ,是 可 供 Web 安全 研究 成 员 任意 攻击 的 系统 。 国 
外 Web 安全 攻防 演练 网 站 如 下 : 

* http://demo. testfire. net 

e http://testphp. vulnweb. com 


e http://testasp. vulnweb. com 


http: //testaspnet. vulnweb. com 


http://zero. webappsecurity. com 


* http://crackme. cenzic. com 


http://www. webscantest. com 

* http://scanme. nmap. org 

另外 ,也 有 作者 自己 做 的 Web 应 用 ,用 于 Web 安全 攻防 演练 。 读 者 使 用 本 书 的 各 种 
Web 安全 漏洞 扫描 与 渗透 攻击 工具 ,切记 不 可 非法 攻击 他 人 网 站 。 


致谢 
感谢 清华 大 学 出 版 社 提供 的 这 次 合作 机 会 ,使 本 书 能 够 早日 与 大 家 见面 。 
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感谢 团队 成 员 的 共同 努力 ,因为 大 家 都 为 一 个 共同 的 信念 “为 加 快 祖国 的 信息 化 发 展 
步伐 而 努力 1 而 紧密 团结 在 一 起 。 感 谢 团队 成 员 的 家 人 ,是 家 人 和 朋友 的 无 私 关 怀 和 昭 
顾 ,最 大 限度 的 宽容 和 付出 保障 了 本 书 的 完成 。 


交流 与 资源 


由 于 作者 水 平 与 时 间 的 限制 ,本 书 难免 会 存在 一 些 问 题 ,如 果 在 使 用 本 书 过 程 中 有 什 
么 疑问 ,请 发 送 邮 件 到 tsinghua. group@ gmail. com 或 roy. wang123(9 gmail. com, 作 者 
及 其 团队 将 会 及 时 给 予 回复 。 

读者 也 可 以 到 网 站 http://www. leaf520. com 进行 更 深层 次 的 学 习 与 讨论 。 本 书 的 
配套 网 站 是 http://books. roqisoft. com/wstool, 欢 迎 大 家 进入 该 网 站 查看 最 新 的 书籍 动 
态 ,下载 配套 资源 ,和 我 们 进行 更 深层 次 的 交流 与 共享 。 
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2015 年 12 月 


1.2 


1.3 


从 国际 视野 看 wtb 安全 A 


Web 安全 问题 出 现 的 背景 分 析 mmm 
i 
1.34:2- Web AA [EJ MEME a sasae 
1.1.3 Web 信息 传播 的 优势 
1.1.4 Web 安全 的 挑战 … 


Web 安全 典型 案例 及 分 析 = 


1 
1 
1 
i 
1. 
1 
1 
1 


流 


de 


TO [T6 [€ [9 [6 [5 
0 - Oo CO) & Q0 to - 


~ 


行 oooo0eeo0oooe 
1.3.1 OWASP ZAP 网 站 漏洞 扫描 与 综合 类 渗透 


2011 年 6 月 美国 花旗 银行 遭 黑 … 
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z 
从 国际 视野 看 Web 安全 


1.1 Web 安全 问题 出 现 的 背景 分 析 


111 Web 安 全 兴起 原因 


近 几 年 来 ,Internet 的 迅猛 发 展 使 其 成 为 全 球 信息 传递 与 共享 的 巨大 资源 库 。 越 来 
越 多 的 网 络 环境 下 的 Web 应 用 系统 被 建立 起 来 ,利用 HTML、CGI 等 Web 技术 可 以 轻 
松 地 在 Internet 环境 下 实现 电子 商务 .电子 政务 等 多 种 应 用 。 

Web 改变 了 现代 人 的 生活 ,为 人 类 带 来 了 前 所 未 有 的 机 遇 和 挑战 。 网 络 的 绚丽 多 
彩 , 让 人 们 感受 到 了 Web 技术 的 强大 。Web 服务 可 以 减轻 商家 的 负担 ,提高 用 户 的 满意 
HE, Web 服务 可 以 节省 大 量 的 人 力 ,用 户 可 以 随时 利用 Web 浏览 器 向 商家 反馈 信息 、 提 
出 意见 和 建议 ,并 且 可 以 得 到 需要 的 服务 ,商家 可 以 利用 网 络 把 服务 推广 到 全 球 网 络 覆 盖 
的 地 方 。 

Web 增进 了 相互 合作 , 随 着 Web 技术 的 不 断 更 新 和 完善 ,会 推出 更 先进 的 服务 。 同 
时 ,现代 人 在 感受 到 Web 的 美好 并 尽情 享受 时 ,也 已 经 开始 担忧 在 虚幻 的 网 络 世界 里 能 
和 否 保证 自己 的 安全 和 隐私 。 

随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 的 互联 网 产品 的 诞生 ,基于 Web 环境 的 
互联 网 应 用 越 来 越 广泛 ,企业 信息 化 的 过 程 中 各 种 应 用 都 架设 在 Web 平台 上 ,Web 业务 
的 迅速 发 展 也 引起 黑客 们 的 强烈 关注 , 接 旺 而 至 的 就 是 Web 安全 威胁 的 凸显 ,黑客 利用 
网 站 操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 ， 
轻 则 自 改 网 页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 人 恶意 代码 ,使 
得 网 站 访问 者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关注 Web 应 用 层 的 安全 问题 。 

目前 很 多 业务 都 依赖 于 互联 网 ,例如 网 上 银行 网络 购 物 、 网 游 等 。 很 多 恶意 攻击 者 
出 于 不 良 的 目的 对 Web 服务 器 进行 攻击 ,想方设法 通过 各 种 手段 获取 他 人 的 个 人 账户 信 
息 , 谋 取 利益。Web 的 开放 性 使 其 成 为 网 络 攻击 的 主 战 场 。 


112 Web 网 络 空间 的 特性 


作为 一 个 全 新 的 世界 , Web 网 络 空间 具有 虚拟 性 、 开 放 人 性 、 自 由 性 、 隐 项 性 ,交互 性 、 
平等 性 和 创新 性 等 特点 。 

(1) 虚拟 性 。 计 算 机 软件 和 网 络 形成 的 虚拟 环境 ,让 人 们 身 临 其 境 ,真正 为 我 们 构筑 
起 了 “空中 花园 ”。 任 何人 通过 网 络 都 可 以 在 虚拟 世界 中 交流 和 合作 。 在 网 络 交往 时 ,性 
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别 、 年 龄 .身份 ,性 格 都 可 以 淡化 ,人 们 根据 自己 的 喜好 可 以 把 自己 设计 成 为 任何 一 个 类 型 
的 人 。 

(2) 开放 性 。 这 是 网 络 的 根本 特性 之 一 。 网 络 空间 是 一 个 没有 地 域 . 没 有 国界 的 空 
间 , 任 何人 只 要 能 够 上 网 ,无 论 身 在 何 处 ,通过 互联 网 就 能 拥有 一 样 的 网 络 资源 ,可 迅速 了 
解 到 全 球 范围 内 的 最 新 信息 ,因为 网 站 对 每 个 网 民 都 是 开放 的 。 

(3) 自由 性 。 由 于 技术 的 原因 ,现在 很 难 做 到 对 网 上 信息 进行 严格 审查 ,也 不 可 能 对 
信息 进行 逐一 核实 ,人 们 都 在 一 个 自由 的 环境 下 接收 和 传播 信息 ,不 同 政 见 和 道德 的 人 都 
可 以 在 网 上 自由 地 发 表 言论 。 

(4) 隐蔽 性 。 互 联网 自 建设 之 初 ,就 没有 设 定 有 效 的 身份 鉴别 功能 。 在 网 上 遮 珊 了 
现实 世界 中 显示 人 们 身份 特征 的 识别 标志 ,只 用 一 个 代码 来 表明 身份 。 在 一 人 一 机 的 环 
境 下 ,人 们 不 必 与 他 人 面对面 地 打交道 ,从 而 没有 了 传统 社会 的 熟人 圈子 去 对 人 的 行为 进 
行 约束 。 道 游 在 网 络 中 的 人 不 需要 真实 的 姓名 和 身份 ,在 这 个 虚拟 空间 中 与 人 交往 ,没有 
责任 也 没有 义务 ,任何 人 都 可 以 使 用 不 同 的 角色 与 人 交流 ,而 不 用 担心 被 人 党 察 。 

(5) 交互 性 。 当 互联 网 成 为 第 四 种 媒体 出 现 的 时 候 , 它 就 表现 出 与 以 前 的 大 众 媒体 
的 不 同 特征 ,在 报纸 ,广播 ,电视 上 ,普通 人 不 可 能 及 时 发 表 个 人 对 某 一 重大 事件 的 看 法 ， 
而 互联 网 能 随时 随地 公开 地 进行 人 与 人 之 间 的 对 话 , 作 为 受众 的 网 民 不 再 是 被 动 的 ,他 们 
可 以 随时 表达 自己 的 意见 ,有 时 甚至 可 以 成 为 某 些 事件 的 主角 。 

(6) 平等 性 。 这 是 网 络 的 根本 原则 之 一 。 约 翰 。 诺顿 认为 "计算 机 世界 是 我 所 知道 
的 唯一 真正 把 机 会 均等 作为 当代 规则 的 一 个 空间 。 在 网 上 ,人 与 人 相互 交流 信息 不 存在 
谁 压迫 谁 . 谁 统治 谁谁 高 于 谁 的 问题 ,人 人 都 是 平等 的 .” 

(7) 创新 性 。 互 联网 技术 是 当今 发 展 得 最 快 的 技术 之 一 ,技术 的 发 展 和 创新 使 得 人 
们 在 网 络 空间 中 的 交往 方式 也 在 不 断 变化 和 发 展 。 不 断 创新 、 不 断 超越 是 网 络 始终 保持 
旺盛 生命 力 的 根本 。 


113 Web 信 息 传播 的 优势 


与 其 他 媒体 (报纸 .杂志 、 广 播 . 电 视 等 ) 比 较 , Web 网 站 (主要 是 Interne 有 以 下 
优势 。 

(1) 范围 广泛 。Internet 实际 上 是 一 个 由 无 数 的 局 域 网 (如 政府 网 .企业 网 ,学校 网 、 
公众 网 等 ) 连 接 起 来 的 世界 性 的 信息 传输 网 络 , 因 此 , 它 又 称 为 "无 边界 的 媒介 ”。Internet 
的 传播 沟通 是 在 电子 空间 进行 的 ,能 够 突破 现实 时 空 的 许多 客观 的 限制 和 障碍 ,真正 全 天 
候 地 开放 和 运转 ,实现 超越 时 空 的 异步 通信 。 

(2) 高 度 开放 。Internet 是 一 个 高 度 开放 的 系统 ,在 这 个 电子 空间 中 ,没有 红 灯 ,不 设 
障碍 ;不 分 制度 ,不 分 国界 ,不 分 种 族 。 任 何人 都 可 以 利用 这 个 网 络 平等 地 获取 信息 和 传 
递 信息 。 

(3) 双向 互动 。Internet 成 功 地 融合 了 大 众 传播 和 人 际 传 播 的 优势 ,实现 了 大 范围 和 
远 距 离 的 双向 互动 。 

(4) 个 性 化 。 在 Internet. 上 ,无 论 信 息 内 容 的 制作 、 媒 体 的 运用 和 控制 ,还 是 传播 和 
接收 信息 的 方式 、 信 息 的 消费 行为 ,都 具有 鲜明 的 个 性 ,非常 符合 信息 消费 个 性 化 的 时 代 
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潮流 ,使 人 际 传播 在 高 科技 的 基础 上 重 放 光 彩 。 


C) 多 媒体 , 超 文本 。Internet 以 超 文本 的 形式 ,使 文字 、 数 据 , 声 音 、 图 像 等 信息 均 可 
转化 为 计算 机 语言 进行 传递 ,不 同形 式 的 信息 可 以 在 同一 个 网 上 同时 传送 ,使 Internet Zi 
合 了 各 种 传播 媒介 (报纸 ,杂志 ,书籍 广播, 电视, 电话、 传真 等 ) 的 特征 和 优势 。 

(6) 低 成 本 。 相 对 其 巨大 的 功能 来 说 ,Internet 的 使 用 是 比较 便宜 的 。 

Internet 具有 以 上 与 传统 大 众 媒介 和 其 他 电子 媒体 不 同 的 传播 特征 。 如 今 “ 网 上 公 
关 ”“ 网 上 广告 "对 大 多 数组 织 与 公众 来 讲 已 经 不 再 是 一 个 陌生 的 词语 了 。 作 为 现代 公 
民 , 如 果 不 懂得 如 何 运用 Internet 的 强大 功能 来 从 事 日 常 活动 ,就 可 能 成 为 一 个 信息 化 社 
会 的 落伍 者 。 


114 Web 安 全 的 挑战 


当前 ,Web 已 经 在 企业 内 网 ,电子 商务 、 综 合 信息 化 项 目 中 得 到 了 广泛 应 用 , 越 来 越 
多 的 企业 都 将 应 用 架设 在 Web 平台 上 ,而 这 也 引发 了 严重 的 安全 问题 。 事 实 上 ,根据 
Gartner Group 的 调查 ,信息 安全 攻击 有 7526 A "E fe Web 应 用 层 而 非 网 络 层 面 上 ,60% 
的 Web 站 点 都 相当 脆弱 , 易 受 攻击 。2008 年 以 来 ,网 络 仿冒、 网 页 恶意 代码 、 网 站 算 改 等 
增长 速度 接近 200%。 而 随 着 Web 2. 0 应 用 的 推广 ,相关 安全 问题 暴露 得 越发 明显 。 

随 着 当前 Web 应 用 开发 越 来 越 复 杂 与 迅速 ,攻击 者 可 以 很 容易 地 通过 各 种 漏洞 实施 
诸如 注入 攻击 . 跨 站 脚本 攻击 以 及 不 安全 的 直接 对 象 关 联 攻 击 , 从 而 进一步 通过 各 种 隐藏 
的 技术 手段 盗窃 诸 如 企业 机 密 、 用 户 隐私 、 信 用 卡 账号 .游戏 账号 密码 等 能 够 轻易 转化 成 
利益 的 信息 。 另 外 ,通过 木马 ,漏洞 控制 海量 的 普通 用 户主 机 组 成 僵尸 网 络 , 利 用 这 些 * 肉 
鸡 ”, 控 制 者 可 以 通过 多 种 方式 获取 利益 ,比如 发 起 攻击 、 单 击 广告 .增加 流量 等 行为 。 

Web 的 开放 性 、 易 用 性 和 Web 应 用 的 易于 开发 性 使 Web 应 用 的 安全 问题 日 益 突出 。 


1.2 Web 安全 典型 案例 及 分 析 


121 DF 3 月 RSA 被 钓鱼 邮件 攻击 


2011 年 3 月 中 旬 EMC 宣布 ,旗下 安全 部 门 RSA( 信 息 安全 领域 最 值得 信赖 的 品牌 ， 
Hl RSA Security WU RAD. EMC 报告 称 ,这 种 攻击 是 一 种 业内 称 为 高 持续 性 威胁 
(advanced persistent threat) 的 复杂 网 络 攻击 ,是 一 种 “极其 复杂 ”的 攻击 ,会 导致 一 些 秘 
密 信息 从 RSA 的 SecurID( 图 1-1) 双 因素 认证 (two-factor authentication) 产 品 中 被 提取 
HÆ. RSA 客户 包括 一 些 军事 机 构 政府 ,各 种 银行 及 医疗 和 医保 设备 。 瑞 纳 称 ,在 两 天 
的 时 间 内 ,公司 一 部 分 普通 员工 收 到 了 一 些 电 子 邮 件 , 这 些 邮件 带 有 一 个 名 为 “2011 年 招 
聘 计划 ?的 Excel 表格 附件 。 一 些 员工 打开 了 附件 ,并 在 表格 空白 处 填写 了 内 容 。 而 该 表 
格 包含 一 个 “0 day( 零 日 ) 漏 洞 ”, 它 主要 是 利用 了 Adobe Flash 的 漏洞 ,通过 该 漏洞 ,黑客 
可 以 在 目标 计算 机 上 安装 任何 程序 。 黑 客 选 择 安装 的 是 PoisonIvyRAT, 这 是 一 个 远程 
控制 程序 ,用 某 个 地 方 的 计算 机 控制 另 一 个 地 方 的 另 一 台 计算 机 。 通 过 远程 访问 目标 计 
算 机 ,黑客 获得 了 RSA 企业 网 络 的 进一步 访问 权 , 这 就 好 比 是 带 着 面罩 冒充 RSA 员工 在 
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公司 内 部 搜索 万 能 密 钥 。 最 初 ,黑客 利用 被 入 侵 的 低级 别 账号 来 收集 登录 信息 ,其 中 包括 
用 户 名 、 密 码 和 域名 信息 等 。 之 后 黑客 又 将 目标 瞄 向 拥有 更 多 访问 权 的 高 级 账号 ,一旦 成 
功 ,他 们 就 从 RSA 网 络 系统 中 盗 取 任何 需要 的 信息 ,之 后 打包 并 通过 FTP FR. 


RSA | 


\ 


SecurlD ) 


图 1-1 RSA 信息 安全 


122 2011 年 6 月 美国 花旗 银行 遭 黑 


2011 年 6 月 


行 卡 用 户 的 姓名 、 


8 日 美国 花旗 银行 证 实 , 该 银行 系统 日 前 被 黑客 侵入 ,21 万 北美 地 区 银 
账户 .电子 邮箱 等 信息 可 能 被 泄露 。 花 旗 银行 的 一 位 发 言 人 说 ,监管 人 


员 在 对 银行 系统 进行 例 行 检查 时 发 现 , 不 明 黑客 入侵 银行 系统 , 盗 取 了 大 批 信用 卡 持 有 者 


的 信息 。 据 估计 ， 
事件 的 影响 。 这 位 发 言 人 说 ,被 盗 取 的 信息 包括 
用 户 的 姓名 ,账号 以 及 电子 邮箱 地 址 等 联系 方式 ， 


约 1% 的 信用 卡 持 有 者 受到 入 侵 


但 用 户 的 出 生日 期 社会 安全 号 、 信 用 卡 过 期 日 及 NN 

安全 密码 等 信息 没有 被 资 取 。 这 位 发 言 人 说 , 银 NY 
行 正在 联系 受 影响 的 客户 ,并 加 强 了 安全 保护 措 WEARE 
i。 尽 管 花旗 银行 坚 称 ;造成 的 破坏 

施 。 尽 管 花旗 银行 坚 称 此 次 攻击 造成 的 破坏 有 ANONYMOUS 


限 , 但 专家 们 还 是 称 这 是 对 美国 大 型 金融 机 构 最 


大 的 一 次 直接 攻击 ,并 表示 这 次 事件 或 将 促成 银 图 1-2 黑客 匿名 入 侵 
行业 数据 安全 体系 的 彻底 大 修 。 黑 客 匿名 入 侵 如 


图 1-2 所 示 。 


123 20 了 2 年 1 月 赛 门 铁 克 企业 级 源 代码 被 次 


2012 年 1 月 


国外 媒体 报道 ,一 个 自称 为 Lords of Dharmaraja 的 黑客 组 织 在 网 络 上 公 


布 了 一 份 据说 涉及 赛 门 铁 克 的 诺顿 杀毒 软件 内 部 机 密 的 文件 ,该 黑客 组 织 还 威胁 要 公开 
诺顿 杀毒 软件 的 源 代码 。 赛 门 铁 克 的 诺顿 软件 为 公司 贡献 了 相当 大 一 部 分 收入 ,诺顿 软 
件 2011 年 的 收入 大 概 为 20 亿美 元 , 占 其 总 收入 的 三 分 之 一 。 如 果 诺 顿 软件 的 源 代码 被 
公开 , 赛 门 铁 克 的 收益 和 股价 肯定 会 受到 极 大 的 影响 。 


2012 年 1 月 


6 日 , 赛 门 铁 克 官方 发 言 人 Cris Paden 向 美国 媒体 表示 ,被 次 的 两 款 企 


业 版 防 病毒 产品 源 代码 分 别 为 Endpoint Protection 11. 0(SEP) 和 Symantec AntiVirus 
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10.2。 虽 然 这 两 款 产品 不 是 赛 门 铁 克 最 新 的 版 本 ,但 依然 在 售后 支持 行列 。Cris Paden 
强调 ,虽然 这 次 事件 看 上 去 很 严重 ,但 不 会 影响 诺顿 的 任何 消费 者 ,而 且 这 次 源 代码 泄露 
并 非 是 黑客 攻破 了 赛 门 铁 克 本 身 的 安全 机 制 ,而 是 通过 攻击 第 三 方 渠道 盗 取 的 。 赛 门 铁 
克 的 官方 声明 如 图 1-3 所 示 。 


Symantec 的 个 人 主页 


Symantec 
Symantec can confirm that a segment of its source code used in two of our older enterprise products 
Symantec has been accessed, one of which has been discontinued. The code involved is four and five years old. 
This does not affect Symantec's Norton products for our consumer customers. Symantec's own 
network was not breached, but rather that of a third party entity. We are stil gathering information on 
the detais and are not in a position to provide specifics on the third party involved. Presently, we have 
no indication that the code disclosure impacts the functionality or security of Symantec's solutions. 
Furthermore, there are no indications that customer information has been impacted or exposed at this 
time. However, Symantec is working to develop remediation process to ensure long-term 
for our customers’ information. We wil communicate that process once the steps have been finalzed. 
Given the early stages of the investigation, we have no further detais to disclose at this time but wil 
provide updates as we confirm additional facts 


1-3 ” 赛 门 铁 克 官 方 Facebook 原文 
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2012 年 6 月 初 ,LinkedIn 董事 Vicente Silveira 在 博客 中 表示 ,LinkedIn 网 站 密码 确 
实 已 经 泄露 (LinkedIn 是 一 家 面向 商业 客户 的 社交 网 络 (SNS) 服 务 网 站 ,成 立 于 2002 年 
12 月 并 于 2003 年 启动 ) 。 

虽然 LinkedIn 最 近 发 布 声明 称 用 户 账户 经 过 加 密 , 黑 客 破解 密码 将 非常 困难 ,但 实 
际 上 ,俄罗斯 黑客 在 论坛 上 发 布 LinkedIn 密码 短 短 几 个 小 时 内 ,就 有 数 百 万 加 密 密 码 被 
破解 ,包括 很 多 所 谓 职业 人 士 采用 的 包含 大 小 写字 母 和 数字 的 “ 强 密码 ”。 为 什么 会 这 样 ? 
举 个 简单 的 例子 : 云 安全 公司 Qualys 的 首席 工程 师 Francois Pesce 最 近 利 用 开源 密码 破 
解 工 具 John the Ripper 去 尝试 破解 最 近 泄漏 的 LinkedIn SHA1 加 密 密 码 (图 1-4)。 破 
解 方法 很 简单 : 猜 一 个 密码 ,生成 它 的 SHA 哈 希 值 ,搜索 泄密 密码 哈 希 数据 库 , 寻 找 是 
否 匹 配 ,如 果 匹 配 , 则 该 密码 是 一 个 有 效 密码 。 他 首先 使 用 默认 的 字典 ,包含 不 到 4000 个 
单词 ,在 一 台 没有 显卡 的 旧 计 算 机 上 运行 破解 程序 ,结果 在 4 小 时 后 就 破解 了 90 万 个 常见 
密码 。 接 着 ,他 尝试 不 同 的 旧 字 典 去 发 现 不 常见 的 密码 ,最 终 破解 了 200 万 个 加 密 密 码 。 

SHAI 加 密 算 法 已 经 不 够 安全 ,属于 弱 加 密 算 法 ,需要 及 时 更 新 为 强加 密 算法 。 

有 人 统计 了 在 这 次 LinkedIn 等 网 站 泄露 中 英语 国家 人 们 最 常用 的 1000 个 密码 。 如 
果 与 前 一 阵 中 国 互联 网 用 户 账 户 密码 大 泄露 事件 中 透露 的 数据 进行 比较 ,会 发 现 很 多 有 
趣 的 相同 和 不 同 点 。 最 大 的 共同 点 是 大 家 都 比较 喜欢 1234567… ,不 同 的 是 英语 国家 最 
常用 的 密码 是 英文 单词 password。 


125 20{2 年 7 月 雅虎 服务 器 被 黑 用 户 信息 泄露 


2012 年 7 月 中 旬 ,黑客 们 公布 了 他 们 获得 的 雅虎 45. 34 万 名 用 户 的 认证 信息 ,还 有 
超过 2700 个 数据 库 表 或 数据 库 表 列 的 姓名 以 及 298 个 MySQL 变量 。 他 们 称 ,以 上 内 容 
均 是 在 此 次 入侵 行 动 中 获得 的 。 
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[Š Linkedin-Passwords 
30£8c8134437da0c0232eeca20bd7992c00bce74 : 
df272dfef6127aeaecc5c47c7ceed028c39354df : 
c886b08ad18cd650b1bc4a7612a0742a2257a41e: 
bd01669b5883f24ebe55930efeb098fb5a873d96: 
ef60e1915933c7c5abde3cb160f£45bf1963e3525: 
991db9efcfa06ae837a4d433b6ba27717256e1af8: 
4b757d2£8£7036£8119739e4b82bc27875£4a987: 
13a7bc6d3d74dcc5533d0a756a7b9bf4f1b46c7d: 
a4404ac0b635faa6264658£c960836a308427c90: 
546684e9d6d2£217db45229b4fa63c5d51f26729: 
54cd6a7aaf905ac2145942f65a03fa'71c54cf3ea9: 
£b88038b760bc428e4847831aad572339c2e8ecd: 
C0 6bbe76b5dfa96cb8c0351a227£30b8f1a3109a: 
a0674d0£502613bc845b31c70b6882ae91ed27a2c: 


1-4 LinkedIn SHAI 方式 加 密 用 户 密 码 


目前 ,这 些 信息 已 在 由 黑客 联盟 组 成 的 D33D 公司 的 公共 网 站 上 公布 。 黑 客 们 利用 
特殊 的 SQL 注入 方式 渗透 到 雅虎 网 站 的 子 区 域 中 以 获取 信息 。 该 技术 专门 针对 一 些 安 
全 性 较 差 的 网 站 应 用 程序 进行 攻击 ,这 些 程序 并 不 仔细 检查 进入 搜索 框 和 其 他 用 户 输入 
栏 的 文本 。 通 过 向 其 注入 有 效 的 数据 库 指令 ,攻击 者 便 可 欺骗 后 端 服 务 器 ,还 可 向 其 转 储 
大 量 的 敏感 信息 。 

据悉 ,在 获取 信息 之 后 ,黑客 们 写 了 一 份 简短 的 便条 称 :“ 我 们 希望 此 次 行为 能 对 负 
责 管理 该 子 区 域 的 相关 部 门 敲 响 警钟 ,而 非 威 胁 。 雅 虎 网 络 服务 器 的 安全 漏洞 实在 太 多 
T! 这 将 会 造成 比 这 次 更 大 的 损失 。 千 万 别 小 看 它们 。 目 前 还 未 公布 子 区 域 和 脆弱 的 参 
数 名 称 ,以 避免 进一步 损失 ,” 据 TrustedSec 网 站 报道 ,被 攻击 的 雅虎 子 区 域 可 能 是 
Yahoo Voice, X ff Jy Associated Content, 如 图 1-5 所 示 o 


126 DBF 6 月 美国 “棱镜 "灼伤 全 球 公众 隐私 


2013 年 6 月 5 日 ,英国 ( 卫 报 ) 发 表 文章 称 ,美国 国家 安全 局 有 一 项 代号 为 “楼 镜 ” 的 
秘密 项 目 , 要 求 电信 巨头 威 瑞 森 公司 必须 每 天 上 交 数 百 万 用 户 的 通话 记录 。 一 天 之 后 , 美 
国 (华盛顿 邮 报 披露, 在 过 去 6 年 间 , 美 国 国家 安全 局 和 联邦 调查 局 通过 进入 微软 谷歌 、 
革 果 ,雅虎 等 九 大 网 络 巨 头 的 服务 器 ,监控 美国 公民 的 电子 邮件 ,聊天 记录 视频 及 照片 等 秘 
密 资料 (图 1-6)。6 月 7 日 ,正在 加 州 圣何塞 视察 的 美国 总 统 奥巴马 做 出 回应 ,公开 承认 该 
项 目 。 由 此 ,这 项 由 美国 国家 安全 局 自 2007 年 起 开始 实施 的 绝密 电子 监听 计划 浮 出 水 面 。 


7 
/» 
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人 90) 


Hrs 雅虎 服务 器 被 黑 图 1-6 美国 “棱镜 ”灼伤 全 球 公众 隐私 
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“棱镜 门 ”曝光 以 来 ,美国 庞大 的 监控 计划 冰山 一 角 暴 露 在 各 国 面前 ,其 几乎 无 孔 不 入 
地 监控 个 人 隐私 , 肆 无 忌 习 地 入侵 他 国 网 络 等 丑陋 行为 ,受到 全 球 广泛 关注 和 谴责 。“ 棱 
镜 ” 项 目的 曝光 为 我 国 国家 整体 信息 安全 硕 响 了 警钟 : 一 方面 网 络 对 抗日 趋 成 为 国家 行 
为 ,网 络 空间 主导 权 的 争夺 将 成 为 国际 战略 博弈 的 焦点 问题 ; 另 一 方面 ,在 不 掌握 信息 产 
品 核心 技术 的 情况 下 ,忽视 信息 安全 问题 将 使 国家 核心 利益 和 安全 面临 严重 威胁 。 随 着 
信息 化 的 深入 发 展 ,网 络 空间 日 益 受 到 各 国政 府 的 高 度 重视 ,为 争夺 网 络 空间 主导 权 , 以 
美国 为 首 的 各 国政 府 努力 发 展 网 络 监听 ,控制 和 作战 能 力 , 网 络 对 抗日 趋 激烈 。 


127 2015 年 2 月 Coget Hië DNS 劫持 


2015 年 2 月 23 日 ,Google 越南 站 的 网 民 都 收 到 了 一 个 大 大 的 “惊喜 ”: 他 们 看 到 的 
不 是 Google 的 搜索 界面 ,而 是 一 个 男人 的 自拍 照 ,页 面 上 还 留 下 一 段 文字 : 你 已 经 被 黑 
客 组 织 Lizard Squad 黑 了 (图 1-7). Lizard Squad 是 2014 年 最 活跃 的 黑客 组 织 之 一 ,他 
们 曾 在 2013 年 圣诞 节 成 功 “ 调 戏 ? 了 IT 巨头 微软 和 索尼 。 当 时 这 个 黑客 组 织 攻陷 了 
PlayStation Network 和 Xbox 在 线 服务 ,影响 了 全 球 数 亿 用 户 ,并 自 户 为 "DDoS 攻击 之 王 ”。 


DDOS @ btp//izardsteser su 
Follow as on Twitter: 6 LianiCiie 


1-7 Google & B5 3438. DNS 劫持 


Lizard Squad 此 次 并 没有 直接 攻击 Google 服务 器 ,而 是 对 DNS 进行 了 劫持 ,将 
Google 越南 站 的 访客 重 定向 到 他 们 的 “ 黑 页 ”。 根 据 Google 的 DNS 服务 商 OpenDNS 所 
述 ,这 名 自称 Lizard Squad 成 员 的 黑客 通过 将 Google 的 域名 服务 器 (nsl. google. com, 
ns2. google. com) 修 改 成 CloudFlare 的 IP(173. 245. 59. 108, 173. 245. 58. 166) 来 重 定向 
访客 。 与 此 同时 ,这 个 带 有 自拍 的 黑 页 被 放 在 一 台 位 于 荷兰 的 DigitalOcean 服务 器 上 。 
攻击 事件 发 生 后 ,CloudFlare 和 越南 互联 网 络 信 息 中 心 (VNNIC) 迅 速 作出 反应 ,防止 情 
况 恶 化 。 域 名 服务 器 记录 几 小 时 后 被 恢复 了 。 

OpenDNS 的 专家 认为 ,Lizard Squad 的 狭 独 之 处 在 于 ,他 们 之 所 以 选择 DigitalOcean 


- 
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是 因为 它 提供 了 IPv6 的 IP 地 址 ,这 能 帮助 他 们 迷惑 网 络 分 析 人 员 和 传统 的 检测 工具 。 
有 问题 的 IP 地 址 是 2a03:b0c0:2:d0::23a:c001。 


128 2015 年 3 月 GtHb 遭 遇 超 大 规模 DDoS 攻击 


2015 4 3 H 26 日 开始 ,全 球 知名 的 软件 代码 托管 网 站 github 遭 到 其 网 站 历史 上 最 
大 规模 的 DDoS 攻击 (图 1-8)。 攻 击 已 经 超过 了 80 多 个 小 时 并 且 仍 在 继续 。github 指 
出 ,攻击 者 的 目的 是 逼迫 github 移 除 反 审查 项 目 Greatfire。 作 为 开源 代码 库 以 及 版 本 控 
制 系统 , github 拥有 140 多 万 开发 者 用 户 。 随 着 越 来 越 多 的 应 用 程序 转移 到 了 云 上 ， 
github 已 经 成 为 管理 软件 开发 以 及 发 现 已 有 代码 的 首选 方法 之 一 。 遭 受 DDoS 攻击 的 体 
验 对 于 github 来 说 已 经 不 是 首次 。2013 年 1 月 15 日 晚间 ,全 球 最 大 的 社交 编程 及 代码 
托管 网 站 github 突然 疑似 遭遇 DDoS 攻击 ,访问 大 幅 放 缓 ,该 网 站 管理 员 经 过 日 志 查询 ， 
发 现 是 来 自 12306 的 抢 票 插 件 用 户 洪水 般 的 访问 导致 github 出 现 问题 。 目 前 ,这 次 攻击 
已 经 导致 github 在 全 球 范围 内 的 访问 速度 下 降 。 从 3 月 28 HE, github 在 某 些 范围 内 
变 得 十 分 不 稳定 ,多 数 情况 下 无 法 访问 。 

据悉 ,攻击 者 先后 使 用 了 4 种 DDoS 技术 攻击 github: 

第 一 波 是 创造 性 的 劫持 百度 JS Pale 用 中 国 海外 用 户 的 浏览 器 每 2s 向 托管 在 
github 上 的 两 个 反 审查 项 目 发 出 请 求 ,这 一 手段 被 github 用 弹出 JS 警告 alert() 防 住 。 

第 二 波 是 跨 域 <img> 攻 击 , 被 github Referer 挡住 。 

第 三 波 是 DDoS 攻击 github Pages. 

第 四 波 是 正在 进行 中 的 TCP SYN 洪水 攻击 ,利用 TCP 协议 缺陷 发 送 大 量 伪造 的 
TCP 连接 请 求 , 让 github 耗 尽 资源 。 对 于 Greatfire 所 实现 的 collateral freedom( PDF) , 
也 有 许多 人 对 此 表达 了 不 满 ,Greatfire 的 做 法 让 一 些 CDN(Content Delivery Network, 
内 容 分 发 网 络 ) 服 务 商 遭 到 了 封杀 ,而 github 是 最 新 的 受害 者 。 


^ gifhub 


gu CODING 


1-8 github 遭遇 超大 规模 DDoS Xx 


1.3 流行 Web 安全 漏洞 扫描 与 渗透 攻击 工具 


Web 安全 漏洞 扫描 与 渗透 工具 在 构建 安全 的 Web 站 点 上 能 够 助人 们 一 臂 之 力 ,也 
就 是 说 ,在 遭受 黑客 攻击 之 前 , 先 测试 一 下 自己 系统 中 的 漏洞 ,然后 有 针对 性 地 修复 这 些 
漏洞 。 据 统计 ,在 网 络 中 进行 攻击 的 大 部 分 人 (70% 以 上 ) 并 不 具有 强大 的 计算 机 编程 能 
力 , 只 是 利用 五 花 八 门 的 攻击 工具 进行 攻击 罢了 。 


第 1 章 ”从 国际 视野 看 Vb 安全 


目前 国内 外 Web 网 站 漏洞 扫描 与 渗透 攻击 的 工具 有 许多 ,本 书 选取 在 国际 排名 最 高 
的 13 个 工具 进行 讲解 。 


131 WMP ZAP 网 站 漏洞 扫描 与 综合 类 渗透 测试 工具 


ZAP 是 一 款 易于 使 用 的 ,帮助 用 户 从 网 页 应 用 程序 中 寻找 漏洞 的 综合 类 渗透 测试 工 
具 。ZAP 公司 对 其 所 发 布 的 工具 及 未 来 版 本 有 明确 的 发 展 路 线 ,在 后 续 产 品 中 ,功能 性 
无 疑 将 得 到 进一步 加 强 。 该 工具 包含 了 拦截 代理 、 自 动 处 理 、 被 动 处 理 、 暴 力 破解 以 及 端 
口 扫描 等 功能 , 除 此 之 外 ,蜘蛛 搜索 功能 也 被 加 入 了 进去 ,对 跨 站 点 脚本 (简称 XSS) 项 目 
的 测试 也 是 可 圈 可 点 的 。 


132 IBM Seourity AppScan Web 安 全 扫描 与 安全 审计 工具 


AppScan 是 一 款 很 不 错 的 Web 安全 扫描 工具 ,对 于 检测 网 站 安全 、 进 行 安 全 审计 有 
很 大 帮助 。 是 IBM 公司 的 一 款 得 意 产 品 , 所 获得 的 奖项 与 称号 无 数 ,为 IBM 公司 在 安全 
业务 的 拓展 上 起 到 了 很 大 的 帮助 。 越 来 越 多 的 机 构 将 之 应 用 到 实际 开发 过 程 中 ,并 尝试 
将 AppScan Standard 集成 到 它们 的 自动 化 构建 中 去 。AppScan Standard V8. 6 的 CLI 
命令 行 界面 提供 了 丰富 的 命令 及 参数 ,用 户 可 以 很 方便 地 从 脚本 或 者 批 处 理 文件 中 控制 
AppScan Standard ,轻松 实 现 将 AppScan Standard 集成 到 自动 构建 中 去 。 


133 WebScarab 分 析 使 用 HTIP 和 HTTPS 协 议 通信 工具 


该 工具 可 以 分 析 使 用 HTTP 和 HTTPS 协议 进行 通信 的 应 用 程序 , WebScarab 可 以 
用 最 简单 的 形式 记录 它 观察 的 会 话 , 并 人 允许 操作 人 员 以 各 种 方式 观察 会 话 。 如 果 需 要 观 
察 一 个 基于 HTTP(S) 应 用 程序 的 运行 状态 ,那么 WebScarab 就 可 以 满足 这 种 需要 。 不 
管 是 帮助 开发 人 员 调 试 其 他 方面 的 难题 ,还 是 允许 安全 专业 人 员 识 别 漏洞 , 它 都 是 一 款 不 
错 的 工具 。 


134 Pangalin SQL 数据 库 注 入 渗透 测试 工具 


Pangolin 翻译 成 中 文 即 为 穿山 甲 。 之 所 以 取 名 为 穿山 甲 ,是 因为 网 络 安全 通常 都 伴 
随 着 网 络 防火 墙 , 只 允许 极 少数 的 业务 端口 开放 。 而 SQL 注入 正 是 这 样 的 一 个 攻击 途 
径 , 其 动作 就 像 穿山 甲 一 样 会 “ 打 洞 ”, 能 够 穿越 看 似 强大 的 目标 ,这 也 是 网 络 安 全 的 现状 。 

Pangolin 是 一 款 帮 助 渗透 测试 人 员 进 行 SQL 注入 测试 的 安全 工具 。 该 工具 支持 国 
内 外 主流 的 数据 库 类 型 ,包括 Access, DB2, Informix, Microsoft SQL Server 2000, 
Microsoft SQL Server 2005, Microsoft SQL Server 2008, MySQL, Oracle, PostgreSQL, 
Sqlite3 Sybase 等 。 


135 Metasplct 安全 漏洞 检测 与 渗透 测试 工具 


Metasploit 是 一 款 开源 的 安全 漏洞 检测 工具 ,可 以 帮助 安全 和 IT 专业 人 士 识 别 安全 
性 问题 ,验证 漏洞 的 缓解 措施 ,并 管理 专家 驱动 的 安全 性 进行 评估 ,提供 真正 的 安全 风险 
情报 。 这 些 功 能 包括 智能 开发 .密码 审计 、Web 应 用 程序 扫描 、 社 会 工程 。 


^o vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


Metasploit 是 一 个 免费 的 、 可 下 载 的 框架 ,通过 它 可 以 很 容易 地 获取 、 开 发 计算 机 软 
件 漏洞 并 对 之 实施 攻击 。 它 是 本 身 附 带 数 百 个 已 知 软件 漏洞 的 专业 级 漏洞 攻击 工具 。 当 
H. D. Moore ft 2003 年 发 布 Metasploit 时 ,计算 机 安全 状况 也 被 永久 性 地 改变 了 。 仿 
佛 一 夜 之 间 ,任何 人 都 可 以 成 为 黑客 ,每 个 人 都 可 以 使 用 攻击 工具 来 攻击 那些 未 打 过 补丁 
或 者 刚刚 打 过 补丁 的 漏洞 。 软 件 厂商 再 也 不 能 推迟 发 布 针对 已 公布 漏洞 的 补丁 了 ,这 是 
因为 Metasploit 团队 一 直 都 在 努力 开发 各 种 攻击 工具 ,并 将 它们 贡献 给 所 有 Metasploit 
用 户 。 在 目前 情况 下 ,安全 专家 以 及 安全 业余 爱好 者 更 多 地 将 其 当 作 一 种 点 几 下 鼠标 就 
可 以 利用 其 中 附带 的 攻击 工具 进行 成 功 攻击 的 环境 。 


136 ”BeF Web 浏 览 器 渗透 攻击 工具 


BeEF 是 目前 欧美 最 流行 的 Web 框架 攻击 平台 , 它 的 全 称 是 The Browser 
Exploitation Framework 的 简写 。BeEF 是 一 款 针对 Web 浏览 器 的 渗透 工具 ,最 近 两 年 
外 各 种 黑客 的 会 议 都 有 它 的 介绍 ,很 多 人 对 这 个 工具 有 很 高 的 赞美 。 

针对 客户 端的 攻击 与 日 俱 增 ,包括 移动 客户 端 。BeEF 允许 专业 渗透 人 员 通 过 使 用 
客户 端 攻击 向 量 来 评估 目标 环境 的 真实 安全 状况 。 与 别 的 工具 不 同 ,BeEF 绕 过 其 他 选 
择 , 只 针对 Web 浏览 器 。BeEF 攻击 Web 浏览 器 ,控制 命令 模块 ,以 及 对 系统 展开 后 续 攻 
击 测试 。 

通过 KSS 这 个 简单 的 漏洞 ,BeEF 可 以 通过 一 段 编制 好 的 JavaScript 代码 控制 目标 
主机 的 浏览 器 ,通过 浏览 器 获得 各 种 信息 并 且 扫 描 内 网 信息 ,同时 能 够 配合 Metasploit 进 
一 步 渗透 主机 ,强大 得 有 些 吓 人 。 


137 Nrep 网 络 发 所 和 安全 审计 工具 


Nmap(Network Mapper) 是 一 款 免费 开源 、 通 用 的 网 络 发 气 和 安全 审计 工具 。 很 多 
系统 和 网 络 管理 员 发 现 它 还 适用 于 网 络 盘 点 ,管理 服务 升级 模块 ,监控 主机 或 者 服务 运行 
时 间 , 以 及 很 多 其 他 任务 。Nmap 使 用 原始 TP 数据 包 来 确定 网 络 上 的 可 用 主机 它们 提 
供 的 服务 、 运 行 的 系统 、 在 用 的 防火 墙 以 及 很 多 其 他 特征 。 

Nmap 是 一 个 网 络 连接 端 扫描 软件 ,用 来 扫描 网 上 计算 机 开放 的 网 络 连接 端 。 确 定 
哪些 服务 运行 在 哪些 连接 端 ,并 且 推 断 计算 机 运行 哪个 操作 系统 。 它 是 网 络 管理 员 用 来 
评估 网 络 系统 安全 必用 的 软件 之 一 。 

Nmap 的 基本 功能 有 3 个 ,一 是 探测 一 组 主机 是 否 在 线 ; 二 是 扫描 主机 端口 , 嗅 探 所 
提供 的 网 络 服务 ;三 是 推断 主机 所 用 的 操作 系统 。Nmap 可 用 于 扫描 仅 有 两 个 节点 的 
LAN, 直 至 500 个 节点 以 上 的 网 络 。Nmap 还 允许 用 户 定制 扫描 技巧 。 通常, 一 个 简单 的 
使 用 ICMP 协议 的 ping 操作 可 以 满足 一 般 需 求 ;也 可 以 深入 探测 UDP 或 者 TCP 端口 ， 
直至 主机 所 使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 , 供 进一步 
分 析 操 作 。 


138 Nko Web 服 务 器 扫描 工具 
Nikto 是 一 个 开源 的 Web 服务 器 扫描 程序 , 它 可 以 对 Web 服务 器 的 多 种 项 目 (包括 
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3500 个 潜在 的 危险 文件 或 CGT, 以 及 超过 900 个 服务 器 版 本 ,还 有 250 多 个 服务 器 上 的 
版 本 特定 问题 ) 进 行 全 面 的 测试 。 其 扫描 项 目 和 插件 经 常 更 新 并 且 可 以 自动 更 新 (如 果 需 
要 的 话 ) 。 

Nikto 可 以 在 尽 可 能 短 的 周期 内 测试 你 的 Web 服务 器 ,这 在 其 日 志文 件 中 相当 明 
显 。 如 果 用 户 想 试 验 一 下 (或 者 测试 自己 的 IDS 系统 ) , 它 也 可 以 支持 LibWhisker 的 反 
IDS 方法 。 但 是 并 非 每 一 次 检查 都 可 以 找 出 一 个 安全 问题 ,虽然 多 数 情况 下 是 这 样 的 。 
有 一 些 项 目 是 仅 提供 信息 (info only) 类 型 的 检查 ,这 种 检查 可 以 查找 一 些 并 不 存在 安全 
漏洞 的 项 目 , 只 是 Web 管理 员 或 安全 工程 师 们 可 能 并 不 知道 。 这 些 项 目 通常 都 可 以 恰当 
地 标记 出 来 ,为 人 们 省 去 不 少 麻 烦 。 


139 ”Hitprint Web 服 务 器 指纹 识别 工具 


Httprint 是 Net-square 开发 的 一 个 免费 的 Web 服务 器 的 指纹 识别 工具 。Httprint 
可 以 通过 改变 服务 器 的 Banner Strings 或 者 使 用 像 mod_security 或 ServerMas10 之 类 的 
插件 使 服务 器 的 特征 模糊 化 ,还 可 以 通过 服务 器 的 特征 来 精确 识别 Web 服务 器 。 
Httprint 也 能 够 用 来 检测 没有 Banner Strings 的 网 络 设备 ,如 无 线 接 和 人 点、 路由器、 交换 
机 、 有 线 调制 解 调 器 等 。 


1310 DirBuster 遍历 Web 应 用 服务 器 目录 和 文件 工具 


DirBuster 是 一 个 多 线程 的 基于 Java 的 应 用 程序 设计 ,能 够 蛮 力 遍历 Web 应 用 服务 
器 上 的 目录 和 文件 名 。 

寻找 敏感 的 目录 文件 和 文件 夹 在 Web 应 用 程序 渗透 测试 中 始终 是 一 个 相当 艰巨 的 
工作 。 人 们 往往 看 不 到 这 些 默 认 安 装 的 文件 或 目录 ,要 找 出 敏感 的 页 面 真 的 很 难 。 
DirBuster 有 助 于 发 现 那些 未 知 的 和 敏感 的 文件 名 或 目录 。 


131 WB8AF Web 应 用 程序 攻击 和 审计 框架 


W3AF(Web Application Attack and Audit Framework) 是 一 个 Web 应 用 程序 攻击 
和 审计 框架 。 它 的 目标 是 创建 一 个 易于 使 用 和 扩展 、 能 够 发 现 和 利用 Web 应 用 程序 漏洞 
的 主体 框架 。W3AF 的 核心 代码 和 插件 完全 由 Python 编写 。 它 已 有 超过 130 个 的 插 
件 , 这 些 插件 可 以 检测 SQL 注入 、 跨 站 脚本 、 本 地 和 远程 文件 包含 等 漏洞 。 


1312 Wreshark 网 络 数据 包 分 析 软 件 


Wireshark( 前 称 为 Ethereal) 是 一 个 网 络 数据 包 分 析 软 件 。 网 络 数据 包 分 析 软 件 的 
功能 是 捕获 网 络 数据 包 , 并 尽 可 能 显示 出 最 为 详细 的 网 络 数据 包 信息 。Wireshark 使 用 
WinPCAP 作为 接口 ,直接 与 网 卡 进行 数据 报 文 交换 。 在 过 去 ,网 络 数据 包 分 析 软 件 是 非 
常 昂贵 的 ,或 是 专门 属于 营利 用 的 软件 。Ethereal 的 出 现 改变 了 这 一 切 。 在 GNUGPL 
通用 许可 证 的 保障 范围 下 ,使 用 者 可 以 免费 取得 软件 与 其 源 代码 ,并 拥有 针对 其 源 代 
码 修改 及 定制 化 的 权利 。Wireshark 是 目前 全 世界 使 用 最 广泛 的 网 络 数据 包 分 析 软 件 
TAE 
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网 络 管理 员 使 用 Wireshark 来 检测 网 络 问题 ,网 络 安全 工程 师 使 用 Wireshark 来 检 
查 安全 相关 问题 ,开发 者 使 用 Wireshark 来 为 新 的 通信 协定 排 错 , 普通 用 户 使 用 
Wireshark 来 学 习 网 络 协定 的 相关 知识 。 当 然 , 有 的 人 也 会 “居心 区 测 ” 地 用 它 来 寻找 一 
些 敏 感 信息 。 

Wireshark 不 是 入 侵 侦 测 系 统 (Intrusion Detection System,IDS)。 对 于 网 络 上 的 蜡 
常 流量 行为 , Wireshark 不 会 产生 警示 或 任何 提示 。 然 而 ,仔细 分 析 Wireshark 捕获 的 数 
据 包 ,能 够 帮助 使 用 者 对 于 网 络 行为 有 更 清楚 的 了 解 。Wireshark 不 会 使 网 络 数据 包 的 
内 容 产 生变 化 , 它 只 会 反映 出 目前 流通 的 数据 包 信息 。Wireshark 本 身 也 不 会 发 送 数据 
包 到 网 络 上 。 


1313 Bup te 攻击 Web 应 用 程序 集成 平台 


Burp Suite 是 一 个 可 以 用 于 攻击 Web 应 用 程序 的 集成 平台 。Burp 套件 允许 一 个 攻 
击 者 将 人 工 的 和 自动 的 技术 结合 起 来 ,以 列举 ,分 析 、 攻 击 Web 应 用 程序 ,或 利用 这 些 程 
序 的 漏洞 。 各 种 各 样 的 Burp 工具 协同 工作 ,共享 信息 ,并 允许 将 一 种 工具 发 现 的 漏洞 作 
为 另外 一 种 工具 的 基础 。 


1.4 国际 著名 十 大 Web 安全 攻击 分 析 


介绍 Web 安全 ,都 绕 不 开国 际 著名 的 十 大 Web 安全 攻击 。 从 2004 年 开始 ,每 3 年 
开放 式 Web 应 用 程序 安全 项 目 (OWASP) 都 会 列 出 近 几 年 国际 著名 的 十 大 安全 攻击 排 
名 。 与 OWASP 一 样 ,在 Web 安全 领域 研究 同样 非常 著名 的 有 通用 漏洞 披露 (CVE) 和 
一 般 弱 点 列举 (CWE) ,将 分 别 在 1.5 节 、1.6 节 与 1.7 节 进 行 介绍 。 

近 几 年 Web 应 用 十 大 安全 攻击 如 表 1-1 所 示 。 


表 1-1 近 几 年 Web 应 用 十 大 安全 攻击 


等 级 安全 风险 名 称 详细 描述 
例如 SQL、OS 以 及 LDAP 注入 。 这 些 攻击 发 生 在 不 可 信 的 数据 
1 注入 攻击 漏洞 作为 命令 或 者 查询 语句 的 一 部 分 被 发 送 给 解释 器 时 。 攻 击 者 发 送 
(Injection Flaws) 的 恶意 数据 可 以 欺骗 解释 器 ,以 执行 计划 外 的 命令 或 者 访问 未 被 
授权 的 数据 
当 应 用 程序 收 到 含有 不 可 信 的 数据 ,在 没有 进行 适当 的 验证 和 转 
跨 站 脚本 攻击 义 的 情况 下 ,就 将 它 发 送 给 一 个 网 页 浏览 器 ,这 就 会 产生 跨 站 脚本 


(Cross Site Scripting, XSS) | 攻击 (XSS) 。XSS 允许 攻击 者 在 受害 者 的 浏览 器 上 执行 脚本 ,从 
而 劫持 用 户 会 话 ,危害 网 站 或 者 将 用 户 转 向 至 恶意 网 站 


ioi a 与 身份 认证 和 会 话 管理 相关 的 应 用 程序 功能 往往 得 不 到 正确 的 实 
$ | EA ii。 | 现 ,这 就 导致 了 攻击 者 破坏 密码 \ 害 铀 会话 令 牌 或 攻击 其 他 沁 酒 
去 冒充 其 他 用 户 的 身份 


and Session Management) 


等 级 


安全 风险 名 称 


第 1 章 “从 国际 视野 看 v 由 安全 ^ 


Pri 
详细 描述 


不 安全 的 直接 对 象 引 用 
(Insecure Direct Object 


Reference) 


当 开 发 人 员 暴 露 一 个 对 内 部 实现 对 象 的 引用 时 ,例如 一 个 文件 . 目 
录 或 者 数据 库 主键 ,就 会 产生 一 个 不 安全 的 直接 对 象 引 用 。 在 没 
有 访问 控制 检测 或 其 他 保护 时 ,攻击 者 会 操控 这 些 引用 去 访问 未 
授权 数据 


跨 站 请 求 伪 造 
(Cross Site Request Forgery, 
CSRF) 


跨 站 请 求 伪 造 攻击 迫使 登录 用 户 的 浏览 器 将 伪造 的 HTTP 请 求 ， 
包括 该 用 户 的 会 话 Cookie 和 其 他 认证 信息 ,发 送 到 一 个 存在 漏洞 
的 Web 应 用 程序 。 这 就 允许 了 攻击 者 迫使 用 户 浏览 器 向 存在 漏 
洞 的 应 用 程序 发 送 请 求 , 而 这 些 请 求 会 被 应 用 程序 认为 是 用 户 的 
合法 请 求 


安全 配置 错误 
(Security Misconfiguration) 


好 的 安全 需要 对 应 用 程序 ,框架 、 应 用 程序 服务 器 、Web 服务器、 数 
据 库 服务 器 和 平台 定义 和 执行 安全 配置 。 由 于 许多 设置 的 默认 值 
并 不 是 安全 的 ,因此 ,必须 定义 、 实 施 和 维护 所 有 这 些 设置 。 这 包 
含 了 对 所 有 的 软件 保持 及 时 更 新 ,包括 所 有 应 用 程序 的 库 文件 


不 安全 的 加 密 存储 
(Insecure Cryptographic 
Storage) 


许多 Web 应 用 程序 并 没有 使 用 恰当 的 加 密 措施 或 哈 希 算法 保护 
敏感 数据 ,比如 信用 卡 、 社 会 安全 号 码 (SSN) 、 身 份 认证 证 书 等 。 
攻击 者 可 能 利用 这 种 弱 保 护 数据 实行 身份 盗窃 .信用卡 诈骗 或 其 
他 犯罪 


URL 访问 控制 不 当 
(Failure to Restrict URL 
Access) 


许多 Web 应 用 程序 在 显示 受 保护 的 链接 和 按钮 之 前 会 检测 URL 
访问 权限 。 但 是 , 当 这 些 页 面 被 访问 时 ,应 用 程序 也 需要 执行 类 似 
的 访问 控制 检测 ,否则 攻击 者 将 可 以 伪造 这 些 URL. 去 访问 隐藏 的 
网 页 


不 安全 的 通信 


(Insecure Communication) 


应 用 程序 经 常 没有 进行 身份 认证 ,没有 加 密 措施 ,甚至 没有 保护 敏 
感 网 络 数据 的 保密 性 和 完整 性 。 当 进行 保护 时 ,应 用 程序 有 时 采 
用 弱 算 法 ,使 用 过 期 或 无 效 的 证 书 ,或 不 正确 地 使 用 这 些 技术 
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未 验证 的 重 定向 和 转发 
(Unvalidated Redirects 
and Forwards) 


Web 应 用 程序 经 常 将 用 户 重 定向 和 转发 到 其 他 网 页 和 网 站 ,并 利 
用 不 可 信 的 数据 去 判定 目的 页 面 。 如 果 没 有 得 到 适当 验证 ,攻击 
者 可 以 重 定向 受害 用 户 到 钓鱼 软件 或 恶意 网 站 ,或 者 使 用 转发 去 
访问 未 授权 的 页 面 


未 验证 的 重 定向 和 转发 


1. 攻击 说 明 

攻击 者 可 能 利用 未 经 验证 的 重 定向 目标 来 实现 钓鱼 欺骗 ,诱骗 用 户 访问 恶意 站 点 。 
攻击 者 可 能 利用 未 经 验证 的 跳 转 目 标 绕 过 网 站 的 访问 控制 检查 。 

2. 攻击 举例 


这 类 攻击 的 明显 特征 是 攻击 者 仿造 链接 进行 攻击 : 前 面 是 正常 的 URL, 后 面 会 重 定 
向 、 跳 转 或 转发 到 另 一 个 预先 设计 好 的 钓鱼 网 站 的 URL 或 获得 非法 访问 权限 链接 
的 URL. 

1) 利用 重 定向 的 钓鱼 链接 


http://example. com/redirect. asp?=http://malicious. com 
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【攻击 分 析 】 前 面 是 正常 访问 网 站 的 URL, 为 方便 说 明 使 用 http://example. com 网 
站 地 址 ,后 面 的 redirect. asp 负责 跳 转 到 预先 设置 好 的 钓鱼 网 站 http://malicious. com。 

可 能 有 人 会 问 , 这 样 操作 能 攻击 什么 ? 

举 个 例子 ,如 果 前 面 的 URL 是 某 个 网 上 银行 的 网 站 ,或 某 个 航空 订 票 系统 的 网 站 ， 
并 且 用 户 已 经 登录 认证 成 功 ,后 面 是 某 个 人 专门 写 的 一 个 网 站 用 来 钓鱼 的 。 如 果 网 银 系 
统 或 航空 订 票 系统 可 以 任意 跳 转 到 其 他 非法 网 站 ,那么 在 网 银 或 航空 订 票 系统 中 登录 认 
证 过 的 一 些 信 息 , 在 跳 转 到 钓鱼 网 站 时 就 能 被 截获 ,从 而 引发 被 攻击 的 可 能 。 

2) 更 为 隐蔽 的 重 定 向 钓鱼 链接 

http://example. com/userupload/ photo/7642784/.. /.. /.. / redirect. php? % 3F % 3Dhttp 
%3A//www. malicious. com 

【攻击 分 析 】 这 个 例子 是 上 面 的 钓鱼 技术 的 延伸 ,这 个 例子 有 点 隐蔽 。 在 合法 网 站 
上 , 当 用 户 上 传 个 人 照片 时 ,获取 已 登录 用 户 的 认证 成 功 信息 ,然后 跳 转 到 一 个 预先 设 定 
好 的 攻击 网 站 ,通过 已 经 认证 成 功 的 信息 进行 攻击 。 

3) 利用 跳 转 绕 过 网 站 的 访问 权限 控制 检查 

http://example. com/jump. jsp?forward= admin. jsp 

【攻击 分 析 】 这 个 例子 不 是 跳 转 到 第 三 方 攻击 网 站 ,而 是 收集 用 户 已 经 认证 成 功 的 
信息 对 原 网 站 进行 攻击 。 这 个 例子 是 在 自身 网 站 中 通过 不 同 的 跳 转 访问 高 权限 或 管理 者 
页 面 ,本 例 是 跳 转 到 管理 者 页 面 。 

对 一 个 信息 管理 系统 或 不 同 身份 ,不 同 权限 的 网 站 ,用 户 的 任何 URL 访问 请 求 都 要 
进行 合法 性 身份 验证 。 

3. 开发 人 员 防 范 攻击 的 方法 

(1) 尽量 不 用 重 定向 和 跳 转 。 

(2) 对 重 定向 或 跳 转 的 参数 内 容 进行 检查 ,拒绝 站 外 地 址 或 特定 站 内 页 面 。 

(3) 即使 是 本 站 的 地 址 ,用 户 的 所 有 URL 访问 请 求 都 要 进行 合法 性 身份 验证 。 

(4) 不 在 URL 中 显示 目标 地 址 ,而 以 映射 的 代码 表示 (http://example. com/ 


redirect. asp? = 234) 。 
142 不 安全 的 通信 


1. 攻击 说 明 

网 络 窃听 (sniffer) 可 以 捕获 网 络 中 流 过 的 敏感 信息 ,如 密码 .Cookie 字段 等 。 高 级 窃 
听 者 还 可 以 进行 ARP Spoof 攻击 和 中 间 人 攻击 。 

2. 攻击 举例 

这 类 攻击 的 常见 情形 如 下 。 

COD 某 网 站 的 登录 页 面 没 有 进行 加 密 , 攻 击 者 在 截取 网 络 包 后 ,可 以 获得 用 户 的 登录 
凭据 信息 ,进而 使 用 该 用 户 的 身份 资 取 所 需要 的 信息 。 

(2) 某 网 站 的 HTTPS 网 页 内 容 还 包含 一 些 HTTP 网 页 的 引用 ,攻击 者 在 截取 网 络 
包 后 可 以 从 HTTP 请 求 中 发 现 客户 端的 会 话 ID。 获 得 认证 的 会 话 ID 后 ,非法 用 户 就 有 
了 合法 的 身份 从 而 进行 攻击 。 
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3. 开发 人 员 防 范 攻击 的 方法 

CD 对 所 有 验证 页 面 都 使 用 SSL 或 TLS 加 密 。 

(2) 对 所 有 敏感 信息 的 传输 都 使 用 SSL/TLS 加 密 。 

G) 在 网 页 中 不 要 混杂 HTTP 和 HTTPS 内 容 , 应 该 都 使 用 安全 的 HTTPS 访问。 
(4) 对 Cookie 使 用 Secure 标签 。 

(5) 只 允许 SSL 3.0 或 TLS 1.0 以 上 版 本 的 协议 。 

(6) 在 必要 的 情况 下 ,要 求 客户 端 证 书 。 


143 (LL 访问 控制 不 当 


1. 攻击 说 明 

某 些 Web 应 用 包含 一 些 “ 隐 藏 > 的 URL, 这 些 URL 不 显示 在 网 页 链接 中 ,但 管理 员 
可 以 直接 输入 URL 访问 这 些 * 隐 藏 ? 页 面 。 如 果 不 对 这 些 URL 做 访问 限制 ,攻击 者 仍然 
有 机 会 打开 它们 。 

2. 攻击 举例 

这 类 攻击 常见 的 情形 如 下 。 

(1) 某 商品 网 站 举行 内 部 促销 活动 ,内 部 员工 可 以 通过 访问 一 个 未 公开 的 URL 链接 
登录 公司 网 站 ,购买 特价 商品 ,此 URL 被 某 员 工 泄露 后 ,导致 大 量 外 部 用 户 登 录 。 

(2) 某 公司 网 站 包含 一 个 未 公开 的 内 部 员工 论坛 (http://example. com/ bbs) ,攻击 者 可 
以 经 过 一 些 简 单 的 尝试 找到 这 个 论坛 的 入口 地 址 ,从 而 发 送 各 种 垃圾 帖 或 进行 各 种 攻击 。 

3. 开发 人 员 的 防范 方法 

开发 人 员 的 防范 方法 如 下 。 

(1) 对 于 网 站 内 的 所 有 内 容 (不 论 是 公开 的 还 是 未 公开 的 ) 都 要 进行 访问 控制 检查 。 

(2) 只 允许 用 户 访问 特定 的 文件 类 型 ,比如 . html、. asp.. php 等 ,禁止 对 其 他 文件 类 
型 的 访问 。 


144 不 安全 的 加 密 存储 


1. 攻击 说 明 

不 对 重要 信息 进行 加 密 处 理 或 加 密 强度 不 够 ,或 者 没有 安全 的 存储 加 密 信息 ,会 导致 
攻击 者 获得 这 些 信息 。 

2. 攻击 举例 

网 站 遭受 这 类 攻击 的 常见 原因 如 下 : 

(1) 对 重要 信息 比如 银行 卡号 .密码 等 ,直接 以 明文 方式 写 入 数据库 。 

(2) 使 用 自己 编写 的 加 密 或 编码 方式 进行 简单 的 加 密 。 

(3) 使 用 MD5 .SHA1 等 低 强 度 的 算法 。 

(4) 将 加 密 信息 与 密 钥 存放 在 一 起 。 

如 果 网 站 应 用 或 设计 存在 这 样 的 问题 ,那么 总 有 一 天 会 被 攻破 ,导致 客户 的 资料 泄露 
或 丢失 ,造成 个 人 隐私 或 财产 损失 。 

3. 开发 人 员 防 范 方法 

(1) 对 所 有 重要 信息 进行 加 密 。 
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(2) 仅 使 用 足够 强度 的 加 密 算 法 ,比如 AES 和 RSA。 
(3) 存储 密码 时 ,用 SHA256 等 健壮 哈 希 算法 进行 处 理 。 
OD 采用 Salt 技术 防范 攻击 。 

O 产生 的 密 钥 不 能 与 加 密 信息 一 起 存放 。 

(6) 严格 控制 对 加 密 存储 的 访问 。 


145 安全 配置 错误 


1. 攻击 说 明 

管理 员 在 服务 器 安全 配置 上 的 牙 忽 ,通常 会 导致 攻击 者 非法 获取 信息 , 算 改 内 容 ,其 
至 控制 整个 系统 。 

2. 攻击 举例 

网 站 遭受 这 类 攻击 的 常见 原因 如 下 : 

(1) 服务 器 没有 及 时 安装 补丁 。 

(2) 网 站 没有 禁止 目录 浏览 功能 。 

(3) 网 站 允许 匿名 用 户 直接 上 传 文件 。 

(4) 服务 器 上 的 文件 夹 没 有 设置 足够 的 权限 要 求 ,允许 匿名 用 户 写 入 文件 。 

(5) Web 网 站 安装 并 运行 了 并 不 需要 的 服务 ,比如 FTP 或 SMTP。 

(6) 出 错 页 面向 用 户 提供 过 于 具体 的 错误 信息 ,导致 很 容易 被 攻击 。 

(7) Web 应 用 直接 以 SQL SA 账号 进行 连接 ,并 且 SA 账号 使 用 默认 密码 。 

(8) SQL 服务 器 没有 限制 系统 存储 过 程 的 使 用 ,比如 xp_cmdshell。 

3. 开发 人 员 防 范 方法 

A) Web 文件 或 SQL 数据 库 文件 不 存放 在 系统 盘 上 。 

(2) 严格 检查 所 有 与 验证 和 权限 有 关 的 设 定 。 

(3) 权限 最 小 化 。 


146 跨 站 请 求 伪造 


1. 攻击 说 明 

攻击 者 构造 恶意 URL 请 求 ,然后 诱骗 合法 用 户 访问 此 URL 链接 ,以 达到 在 Web 应 
用 中 以 此 用 户 权限 执行 特定 操作 的 目的 。 

CSRF 和 反射 型 XSS 的 主要 区 别 是 : 反射 型 XSS 的 目的 是 在 客户 端 执 行 脚本 ， 
CSRF 的 目的 是 在 Web 应 用 中 执行 操作 。 

CSRF 的 风险 在 于 那些 通过 基于 受信 任 输入 的 表格 和 对 特定 行为 无 须 授 权 的 已 认证 
用 户 来 执行 某 些 行为 的 Web 应用。 已 经 通过 被 保存 在 用 户 浏览 器 中 的 Cookie 进行 认证 
的 用 户 将 在 完全 不 知情 的 情况 下 发 送 HTTP 请 求 到 那个 信任 该 用 户 的 站 点 ,进而 进行 用 
户 不 愿 做 的 行为 。 

2. 攻击 举例 

CSRF(Cross-Site Request Forgery, 跨 站 请 求 伪 造 ) 也 称 为 one click attack 或 者 
session riding ,通常 缩写 为 CSRF 或 者 XSRF ,是 一 种 对 网 站 的 恶意 利用 。 尽 管 听 起 来 像 
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XSS, 但 它 与 XSS 不 同 ,并 且 攻 击 方式 几乎 相左 。XSS 利用 站 点 内 的 信任 用 户 , 而 CSRF 
则 通过 伪装 来 自 受信 任用 户 的 请 求 来 利用 受信 任 的 网 站 。 与 XSS 攻击 相 比 ,CSRF 攻击 
往往 不 大 流行 (因此 对 其 进行 防范 的 资源 也 相当 稀少 ) 且 难以 防范 ,所 以 认为 它 比 XSS 更 
具 危 险 性 。 

多 窗口 浏览 器 (Firefox IE, Chrome 等 ) 提 供 便捷 的 同时 也 带 来 了 一 些 问题 ,因为 多 
窗口 浏览 器 新 打开 的 窗口 具有 当前 所 有 的 会 话 。 例 如 ,用 户 用 下 登录 了 自己 的 博客 , 想 看 
新 闻 了 ,又 单独 运行 一 个 TE 进程 ,这 时 两 个 TE 窗口 的 会 话 是 彼此 独立 的 ,从 看 新 闻 的 TE R 
送 请 求 到 博客 不 会 有 用 户 登 录 的 Cookie; 但 是 多 窗口 浏览 器 永远 都 只 有 一 个 进程 ,各 窗口 的 
会 话 是 通用 的 , 即 看 新 闻 的 窗口 发 请 求 到 博客 时 会 带 上 用 户 在 博客 登录 的 Cookie。 

想 一 想 , 当 我 们 在 Blog/BBS/ WebMail 上 单 击 别人 留 下 的 链接 时 ,说 不 定 一 场 精心 
准备 的 CSRF 攻击 正 等 着 我 们 。 

例如 , 某 网 上 银行 系统 在 执行 转账 时 ,被 攻击 者 用 Web 抓 取 工 具 获 得 ,转账 的 URL 
请 求 为 http://bank. com/transfer. do?act 二 roywang&.amount 二 1000。 攻 击 者 向 用 户 发 
送 邮 件 ,里 面 有 一 个 很 吸引 人 的 链接 标题 为 “ 单 击 查 看 我 的 照片 ”, 而 其 链接 为 <a href= 
"http://bank. com/transfer. do? act = lisa&-amount = 100000" 之 单 击 查看 我 的 照片 
去 /a>。 一 般 用 户 都 认为 是 好 友 给 自己 发 照片 了 , 没 留 意 链 接 的 真正 位 置 ,一 单 击 就 中 招 
了 ,比如 ,通过 自己 的 网 银 给 对 方 网 银 汇款 10 万 元 。 现 在 许多 QQ 资 号 都 是 通过 类 似 这 
样 的 方式 实现 的 。 

又 如 ,有 好 友 发 来 链接 说 他 的 女儿 正在 参加 某 大 赛 ,需要 单 击 投票 支持 , 收 到 消息 的 
人 肯定 想 帮 个 忙 , 单 击 后 ,网 页 出 现 要 求 输入 QQ 账户 与 密码 的 对 话 框 ,而 一 旦 输入 QQ 
账户 与 密码 ,就 被 预先 设计 好 的 网 站 存储 过 去 了 ;或 一 旦 单 击 ,QQ 已 登录 认证 的 会 话 就 
被 劫持 ,对 方 就 能 进一步 发 动 攻击 ,用户 的 QQ 账户 随时 可 能 被 盗 。 普 通 的 网 上 用 户 更 要 
注意 防范 ,不 轻易 单 击 来 历 不 明 的 链接 。 

3. 开发 人 员 防 范 方法 

CSRF 攻击 依赖 如 下 假定 : 

(1) 攻击 者 的 目标 站 点 具有 持久 化 授权 Cookie 或 者 受害 者 具有 当前 会 话 Cookie。 

(2) 目标 站 点 没有 对 用 户 在 网 站 行为 的 第 二 授权 。 

开发 人 员 的 防范 方法 如 下 。 

(1) 避免 在 URL 中 明文 显示 特定 操作 的 参数 内 容 。 

(2) 使 用 同步 令 牌 (synchronizer token) ,检查 客户 端 请 求 是 否 包含 令 牌 及 其 有 效 性 。 

(3) 检查 引用 首部 ,拒绝 来 自 非 本 网 站 的 直接 URL 请 求 访问 本 站 已 认证 信息 。 


147 不 安全 的 直接 对 象 引用 


1. 攻击 说 明 

服务 器 上 的 具体 文件 名 .路 径 或 数据 库 关键 字 等 内 部 资源 被 暴露 在 URL 或 网 页 中 ， 
攻击 者 可 以 尝试 直接 访问 其 他 资源 。 

2. 攻击 举例 

某 网 站 的 新 闻 检索 功能 可 搜索 指定 日 期 的 新 闻 , 但 其 返回 的 URL 中 包含 了 指定 日 
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期 新 闻 页 面 的 文件 名 ,如 http://example. com/online/getnews. asp?item = 20July2013. 
html。 攻 击 者 可 以 尝试 不 同 的 目录 层次 来 获得 系统 文件 win. ini, 例 如 ,http://example. 
com/ online/ getnews. asp? item=../../ winnt/ win. ini, 

2000 年 澳大利亚 税务 局 网 站 曾 发 生 一 位 用 户 通过 修改 网 站 URL 中 的 ABNID 号 而 
获得 直接 访问 17000 家 公司 税务 信息 的 事件 。 

3. 开发 人 员 防 范 方 法 

CD 避免 在 URL 或 网 页 中 直接 引用 内 部 文件 名 或 数据 库 关键 字 。 

(2) 可 使 用 自 定义 的 映射 名 称 来 取代 直接 对 象 名 ,例如 ,http://example. com/ 
online/ getnews. asp?item=11。 

G) 锁定 网 站 服务 器 上 的 所 有 目录 和 文件 夹 ,设置 访问 权限 。 

(4) 验证 用 户 输入 和 URL 请 求 ,拒绝 包含 . /或 ../ 之 类 的 请 求 。 


148 失效 的 身份 认证 和 会 话 管理 


1. 攻击 说 明 

用 户 赁 证 和 会 话 ID 是 Web 应 用 中 最 敏感 的 部 分 ,也 是 攻击 者 最 想 获取 的 信息 。 攻 
击 者 会 采用 网 络 嗅 探 、 暴 力 破解 .社会 工程 等 手段 尝试 获取 这 些 信息 。 

2. 攻击 举例 

这 类 攻击 常见 的 情形 是 : 某 航空 票务 网 站 将 用 户 的 会 话 ID 包含 在 URL 中 ,例如 ， 
http://example. com/sale/saleitems; sessionid = 2P0OC2JHKMSQROUNMJ4V? dest = 
Haxaii。 一 位 用 户 为 了 让 她 的 朋友 看 到 这 个 促销 航班 的 内 容 , 将 上 述 链接 发 送 给 朋友 , 导 
致 他 人 可 以 看 到 她 的 会 话 内 容 。 

一 位 用 户 没 有 在 公用 计算 机 上 退出 他 访问 过 的 网 站 ,导致 下 一 位 使 用 者 可 以 看 到 他 
在 网 站 上 的 会 话 内 容 。 

登录 页 面 没有 加 密 ,攻击 者 通过 截取 网 络 包 可 以 轻易 发 现 用 户 的 登录 信息 。 

3. 开发 人 员 防 范 方 法 

COD 用 户 密码 强度 (普通 密码 6 字符 以 上 ,重要 密码 8 字符 以 上 ,极其 重要 的 密码 应 
使 用 多 种 验证 方式 ) 。 

(2) 不 使 用 简单 或 可 预期 的 密码 恢复 问题 。 

G) 登录 出 错时 不 给 过 多 提示 。 

OD 对 多 次 登录 失败 的 账号 进行 短 时 锁定 。 

(5) 验证 成 功 后 更 换 Session ID。 

(6) 设置 会 话 闲置 超时 (可 选 会 话 绝对 超时 ) 。 

(7) 保护 Cookie(Secure flag/ HTTPOnlyflag) 。 

(8) 不 在 URL 中 显示 Session ID。 


149 跨 站 脚本 攻击 


1. 攻击 说 明 
Web 浏览 器 可 以 执行 HTML 页 面 中 嵌入 的 脚本 命令 ,支持 多 种 语言 类 型 (JavaScript、 
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VBScript, ActiveX 等 ) ,其 中 最 主要 的 是 JavaScript。 

攻击 者 制造 恶意 脚本 ,并 通过 Web 服务 器 转发 给 普通 用 户 客户 端 ,在 其 浏览 器 中 执行 ， 
达到 资 取 用 户 身份 .拒绝 服务 攻击 , 自 改 网 页 .模拟 用 户 身份 发 起 请 求 或 执行 命令 等 目的 。 

2. 攻击 举例 

可 能 大 家 都 有 类 似 的 经 历 , 当 访 问 某 网 站 时 会 出 现下 列 链接 之 一 : 

* 免费 送 Q 币 活动 。 

* 免费 送 游戏 币 活动 。 

* 圣诞 节 礼物 大 派送 。 

细心 的 用 户 会 发 现 , 当 鼠 标 指向 这 些 链 接 时 ,指向 的 链接 并 不 是 对 应 的 官网 地 址 ,这 
可 能 是 要 执行 一 段 KSS 攻击 ,获取 用 户 的 常用 网 站 账户 名 与 密码 以 及 其 他 一 些 私密 信 
息 ; 也 有 可 能 跳出 一 个 新 的 页 面 , 让 用 户 进行 QQ 登录 ,而 登录 的 页 面 又 不 是 QQ 官网 地 
址 ,用 户 提交 的 正确 的 用 户 名 与 密码 会 保存 到 对 方 的 数据 库 中 ,这 样 用 户 的 QQ 号 或 其 他 
账户 信息 就 会 被 别人 资 取 。 

下 面 分 别 给 出 通过 论坛 链接 单 击 免费 获取 Q 币 执行 恶意 代码 的 XSS 攻击 ,以 及 发 送 
有 攻击 链接 的 E-mail 内 容 欺骗 网 民 单 击 , 以 获得 进一步 攻击 机 会 的 例子 。 

图 1-9 为 利用 论坛 链接 进行 XSS 攻击 的 例子 。 图 1-10 为 利用 E-mail 链接 进行 XSS 
攻击 的 例子 。 


攻击 者 Web 服 务 器 
ERERRA 000 Quae —-— 
免费 获取 Q 币 ! ! ! | Re: 沙 发 ! 
EE | | | Lu 
U (RedETEDRe- |) 


| | Re: 地 下 室 地 板 -_- 


ps 免费 获取 Q 币 ! ! ! 
eripe BERE scrip 


“| Re: 谁 又 发 垃圾 广告 啦 ? 


z 


1-9 利用 论坛 链接 进行 XSS 攻击 的 例子 


图 1-11 展示 的 代码 中 ,用 户 在 输入 用 户 名 时 填写 了 KSS 攻击 代码 ,当然 ,任何 网 页 
上 能 让 用 户 填 空 的 地 方 都 有 可 能 受到 KSS 攻击 ,任何 URL 中 的 参数 和 HTML 中 的 
hidden 值 都 有 可 能 被 攻击 。 

3. 开发 人 员 防 范 方法 

COD 严格 检查 用 户 输入 。 

(2) 限制 在 HTML 代码 中 插入 不 可 信和 的 内 容 ( 可 被 用 户 输入 或 修改 的 内 容 ) ,将 
seript style iframe onmouseover 等 有 害 字符 串 过 滤 掉 。 
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全 恶意 代码 隐 
藏 在 链接 中 


B Web 服 务 器 


/OEE 


1 1 
1 1 
1 ( 恶意 代码 1 
1 1 
1 1 
1 1 
| 免费 赠送 Q 币 ! ! ! | 
CLICK HERE 
CLICK HERE 全 上 下文 
1 安全 上 下 文 : pra 1 
1 j 目标 站 点 1 
! Out look 浏览 器 浏览 器 | 


图 1-10 利用 E-mail 链接 进行 XSS 攻击 的 例子 


«script»aleri('script 


injectionin"*documen 
t.cookie);«/script» 


Hello world! 


</body> 
</html> 


图 1-11 代码 嵌入 XSS 攻击 的 例子 


CD 对 于 需要 插入 的 不 可 信 内 容 必须 先进 行 转 义 ( 尤 其 对 特殊 字符 .语法 符号 必须 转 
义 或 重新 编码 ) ,直接 将 HTML. 标签 最 关键 的 字符 过、 、& 编码 为 &lt、&gt、&am。 
(4) 将 Cookie 设置 为 HttpOnly, 防 止 被 脚本 获得 。 


1410 SQL 注入 


1. 攻击 说 明 
虽然 还 有 其 他 类 型 的 注入 攻击 ,但 绝 大 多 数 情况 下 涉及 的 都 是 SQL 注入 。 
所 谓 SQL 注入 ,就 是 通过 把 SQL 命令 插入 Web 表单 递交 或 页 面 请 求 的 查询 字符 串 
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中 ,最 终 达 到 欺骗 服务 器 执行 恶意 SQL 命令 的 目的 。 由 于 使 用 的 编程 语言 和 数据 库 不 
同 ,漏洞 的 利用 及 其 所 造成 的 危害 也 不 同 。 攻 击 者 通过 发 送 SQL 操作 语句 达到 获取 信 
息 \、 算 改 数 据 库 , 控 制服 务 器 等 目的 ,是 目前 非常 流行 的 Web 攻击 手段 。 

2. 攻击 举例 

就 攻击 技术 的 本 质 而 言 ,SQL 注入 利用 的 工具 是 SQL 语法 ,针对 的 是 应 用 程序 开发 
者 编程 中 的 漏洞 , 当 攻击 者 能 操作 数据 ,向 应 用 程序 中 插入 一 些 SQL 语句 时 ,SQL 注入 
攻击 就 发 生 了 。 

实际 上 ,SQL 注入 攻击 是 存在 于 常见 的 多 连接 的 应 用 程序 中 的 一 种 漏洞 ,攻击 者 通 
过 在 应 用 程序 预先 定义 好 的 SQL 语句 结尾 加 上 额外 的 SQL 语句 元 素 ,欺骗 数据 库 服务 
器 执行 非 授权 的 任意 查询 、 算 改 和 命令 。 

就 风险 而 言 ,SQL 注入 攻击 也 位 居 前 列 , 和 缓冲 区 溢出 漏洞 相 比 ,其 优势 在 于 能 够 轻 
易 地 绕 过 防火 墙 直接 访问 数据 库 ,甚至 能 够 获得 数据 库 所 在 服务 器 的 系统 权限 。 

在 Web 应 用 漏洞 中 ,SQL 注入 漏洞 的 风险 要 高 于 其 他 所 有 的 漏洞 。 

3. 攻击 特点 

(1) 攻击 的 广泛 性 : 由 于 SQL 注入 利用 的 是 SQL 语法 ,使 得 攻击 普遍 存在 。 

(2) 攻击 代码 的 多 样 性 : 由 于 各 种 数据 库 软 件 及 应 用 程序 有 其 自身 的 特点 ,实际 的 
攻击 代码 可 能 不 尽 相 同 。 

4. 影响 范围 

数据 库 , MS SQL Server, Oracle, MySQL, DB2 Informix 等 所 有 基于 SQL 语言 标准 
的 数据 库 软 件 。 

应 用 程序 : ASP .PHP、JSP、CGI、CFM 等 所 有 应 用 程序 。 

5 主要 危害 

(1) 非法 查询 、 修 改 、 删 除 其 他 数据 库 资源 。 

(2) 执行 系统 命令 。 


(3) SERA E root 权限 。 图 1-12 在 登录 页 面 进行 SQL 注入 攻击 
假设 的 登录 查询 页 面 如 图 1-12 所 示 。 


SELECT * FROM users WHERE username = 'roywang' AND password = 'P@ss123' 
假设 的 ASP 代码 为 


Var Sql = "SELECT * FROM users WHERE username = '" + fommsr + "' AND password = 
"" 4 forpid e"; 


用 户 输入 用 户 名 和 密码 : 


用 户 名 =' or 二 1 一 
密码 =XXXX // 此 处 输入 任意 字符 


实际 的 查询 代码 为 
SELECT * FROM users WHERE username =" ' or 1-1 — AND password = X X X X ' 


查询 代码 中 的 password 处 的 X X X X 为 用 户 输入 的 任意 字符 。 
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注意 : 

(1) -是 结束 符 , 后 面 内 容 变 成 了 注释 ,因为 1 二 1 导致 此 SQL 语句 恒 成 立 , 所 以 可 以 
登录 后 台 。 

(2) 除了 文本 输入 外 ,用 户 还 可 以 通过 直接 自 改 URL 中 参数 名 与 参数 值 形 成 SQL 注入 。 

6. 开发 人 员 防范 方法 

COD 严格 检查 用 户 输入 ,注意 特殊 字符 :"\、;、[ 一、xp_。 

(2) 数字 型 的 输入 必须 是 合法 的 数字 。 

(3) 在 字符 型 的 输入 中 对 “” 进 行 特 殊 处 理 。 

(4) 验证 所 有 的 输入 点 ,包括 Get、Post、Cookie, 以 及 其 他 HTTP 头 。 

(5) 使 用 参数 化 的 查询 。 

(6) 使 用 SQL 存储 过 程 。 

C) 最 小 化 SQL 权限 。 


1.5 美国 国防 部 最 佳 实践 OWASP 项 目 
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开放 式 Web 应 用 程序 安全 项 目 (Open Web Application Security Project,OWASP) 
是 一 个 组 织 , 它 提供 有 关 计 算 机 和 互联 网 应 用 程序 的 公正 、 实 际 、 有 成 本 效益 的 信息 。 其 
目的 是 协助 个 人 .企业 和 机 构 发 现 和 使 用 可 信赖 软件 。 

OWASP 是 一 个 开放 社 群 式 的 非 营 利 性 组 织 , 目 前 全 球 有 130 个 分 会 , 近 万 名 会 员 ， 
其 主要 目标 是 研究 协助 解决 Web 软件 安全 的 标准 .工具 与 技术 文件 ,长 期 致力 于 协助 政 
府 或 企业 了 解 并 改善 网 页 应 用 程序 与 网 页 服务 的 安全 性 。 由 于 应 用 范围 广 , 网 页 应 用 安 
全 已 经 逐渐 受到 重视 ,并 渐渐 成 为 安全 领域 的 一 个 热门 话题 ,与 此 同时 ,黑客 们 也 悄悄 地 
将 焦点 转移 到 基于 网 页 应 用 程序 开发 时 所 产生 的 弱点 来 进行 攻击 与 破坏 。 

美国 联邦 贸易 委员 会 (FTC) 强 烈 建议 所 有 企业 遵循 OWASP 发 布 的 十 大 Web 弱点 
防护 守则 ,美国 国防 部 亦 将 其 列 为 最 佳 实践 ,国际 信用 卡 资料 安全 技术 PCI 标准 更 将 其 
列 和 其 中 。 
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最 新 的 Web 安全 攻击 与 防范 技术 在 OWASP 官方 论坛 中 能 查 到 ,该 网 站 是 不 断 维护 
更 新 的 ,网 址 为 https://www. owasp. org/index. php/Category: Attack, 如 图 1-13 所 示 。 

OWASP 每 隔 数 年 (一 般 是 3 年 ) 会 更 新 最 关键 的 Web 应 用 安全 问题 清单 (Top 10)， 
即 OWASP TOP 10。 
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Wiki 上 也 有 最 新 的 Web 安全 攻击 与 防范 技术 ,可 以 与 前 面 所 说 的 OWASP 上 列 出 
的 相互 借鉴 ,这 样 就 会 更 全 面 地 知道 每 个 攻击 是 如 何 进行 的 ,以 及 如 何 进行 有 效 防范 ,网 
址 为 http://en. wikipedia. org/ wiki/Category: Web_security_exploits, 如 图 1-14 所 示 。 
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1.6 国际 著名 漏洞 知识 库 CVE 


161 CE 简介 


CVE(Common Vulnerabilities and Exposures, 通 用 漏洞 披露 ) 是 国际 上 一 个 著名 的 
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漏洞 知识 库 , 也 是 目前 在 国际 上 最 具 公 信 力 的 安全 弱点 披露 与 发 布 单位 ,CVE 组 织 是 一 
个 由 企业 界 、 政 府 界 和 学 术 界 综合 参与 的 国际 组 织 , 其 使 命 是 通过 非 营 利 的 组 织 形式 ,对 
漏洞 与 暴露 进行 统一 标识 ,使 得 用 户 和 厂商 对 漏洞 与 暴露 有 统一 的 认识 ,从 而 更 加 快速 而 
有 效 地 去 鉴别 ,发 现 和 修复 软件 产品 的 脆弱 性 。CVE 于 1999 年 9 月 建立 ,目前 其 命名 方 
案由 MITER 公司 主持 。 


162 漏洞 与 暴露 


在 所 有 合理 的 安全 策略 中 都 被 认为 是 有 安全 问题 的 情况 称 之 为 漏洞 (vulnerability)， 
漏洞 可 能 导致 攻击 者 以 其 他 用 户 身份 运行 ,突破 访问 限制 , 转 攻 另 一 个 实体 ,或 者 导致 拒 
绝 服务 攻击 等 。 对 那些 在 一 些 安全 策略 中 认为 有 问题 ,在 另 一 些 安全 策略 中 可 以 被 接受 
的 情况 , 称 之 为 暴露 (exposure) ,暴露 可 能 仅仅 让 攻击 者 获得 一 些 边缘 性 的 信息 ,隐藏 一 
些 行为 ;可 能 仅仅 是 为 攻击 者 提供 一 些 尝试 攻击 的 可 能 性 ;可 能 仅仅 是 一 些 可 以 忍受 的 行 
为 ,只 有 在 一 些 安全 策略 下 才 认 为 是 严重 问题 。 例 如 ,finger 服务 可 能 为 入 侵 者 提供 很 多 
有 用 的 资料 ,但 是 该 服务 本 身 有 时 是 业务 必需 的 ,因此 不 能 说 该 服务 本 身 有 安全 问题 , 宜 
定义 为 暴露 而 非 漏洞 。 


163 CE 的 特点 


CVE 为 每 个 漏洞 和 暴露 确定 了 唯一 的 名 称 , 并 给 每 个 漏洞 和 暴露 一 个 标准 化 的 措 
述 。CVE 不 是 一 个 数据 库 ,而 是 一 个 字典 。 在 CVE 中 ,任何 完全 锭 异 的 漏洞 库 都 可 以 用 
同一 个 语言 表述 。 由 于 语言 统一 ,可 以 使 得 安全 事件 报告 更 好 地 被 理解 ,实现 更 好 的 协同 
TE., CVE 可 以 成 为 评价 相应 工具 和 数据 库 的 基准 。CVE 官网 是 http://cve. mitre. 
org, 如 图 1-15 所 示 。 
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图 1-15 CVE 官网 
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1.7 美国 国家 安全 局 倡议 CWE 


171 CAE 简 介 


CWE(Common Weakness Enumeration ,一 般 弱点 列举 ) 是 由 美国 国家 安全 局 首先 倡 
议 的 战略 行动 。 在 CWE 站 点 上 列 有 800 多 个 编程 .设计 和 架构 上 的 错误 ,CWE 文档 首 
先 列举 的 是 针对 程序 员 最 重要 的 25 项 (TOP 25) ,同时 也 是 软件 最 容易 受到 攻击 的 点 ,从 
而 帮助 程序 员 编写 更 安全 的 代码 。 同 时 CWE 文档 还 适用 于 软件 设计 师 、 架 构 师 甚至 
CIO, 他 们 应 该 了 解 这 些 可 能 出 现 的 弱点 ,并 采取 恰当 的 措施 。 


172 CAE 与 OMSP 的 比较 


5j OWASP 相 比 ,CWE 的 TOP 25 的 覆盖 范围 更 广 ,包括 著名 的 缓冲 区 溢出 缺陷 。 
CWE 还 为 程序 员 提供 了 编写 更 安全 的 代码 所 需要 的 更 详细 的 内 容 。OWASP 更 加 关注 
的 是 Web 应 用 程序 的 安全 风险 ,这 些 安全 风险 易 被 攻击 者 利用 ,使 得 攻击 者 方便 地 对 
Web 应 用 程序 进行 攻击 。 

总 之 ,两 者 区 别 在 于 ,CWE 更 加 站 在 程序 员 的 角度 ,重点 关注 的 是 软件 开发 过 程 , 即 
编程 时 的 漏洞 ,这 些 漏洞 最 终 会 造成 软件 不 安全 ,使 得 软件 易 被 攻击 。 而 OWASP 更 加 
站 在 攻击 者 的 角度 ,思考 当今 攻击 者 针对 Web 应 用 软件 漏洞 采取 的 最 常用 攻击 方式 ,从 
而 提高 开发 者 对 应 用 安全 的 关注 度 。 两 者 关注 的 都 是 软件 存在 的 风险 ,软件 开发 者 都 应 
该 深入 研究 ,了 解 软件 存在 的 风险 及 其 预防 .矫正 。 
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CWE-TOP 25 列表 是 2010 年 美国 系统 网 络 安全 协会 (SANS)、 非 营利 调研 机 构 
MITRE 以 及 美国 和 欧洲 很 多 顶级 软件 安全 专家 共同 合作 的 成 果 。 在 CWE 站 点 上 列 有 
800 多 个 编程 .设计 和 架构 上 的 错误 ,CWE 文档 首先 列举 的 是 针对 程序 员 最 重要 的 25 
项 ,从 而 帮助 他 们 编写 更 安全 的 代码 。 这 个 列表 还 适用 于 软件 设计 师 、 架 构 师 甚至 CIO, 
他 们 应 该 了 解 这 些 可 能 出 现 的 弱点 ,并 采取 恰当 的 措施 。CWE-TOP 25 列表 如 表 1-2 
所 示 。 

表 1-2 CWE-TOP 25 
排名 | 得 分 ID 问题 说 明 
1 | 346 | CWE-79 | 网 页 架构 保持 失败 ( 跨 平 台 脚本 攻击 ) 
2 | 330 | CWE-89 | 对 SQL 命令 中 使 用 的 特定 元 素 处 理 不 当 (SQL 注入 ) 
3 | 273 | CWE-120 | 在 没有 检测 输入 大 小 的 情况 下 就 对 缓冲 区 进行 复制 (经 典 的 缓冲 区 溢出 ) 
4 | 261 | CWE-352 | 跨 站 点 伪造 请 求 (CSRF) 
5 | 219 | CWE-285 | 不 当 的 访问 控制 (授权 ) 


Ww vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


续 表 
排名 | 得 分 ID 问题 说 明 
6 | 202 | CWE-807 | 在 安全 决策 中 信赖 不 被 信任 的 输入 
7 97 | CWE22 | 不 当地 将 路 径 名 限制 为 受 限 的 目录 (路 径 穿 透 ) 
8 94 | CWE-434 | 对 危险 类 型 文件 的 上 载 不 加 限制 
9 88 | CWE-78 | 对 OS 命令 中 使 用 的 特定 元 素 处 理 不 当 
10 | 188 | CWE-311 | 缺少 对 敏感 数据 的 加 密 
11 | 176 | CWE-798 | 使 用 硬 编码 的 证 书 
12 | 158 | CWE-805 | 使 用 不 正确 的 长 度 值 访问 缓冲 区 
| .ee 在 PHP 程序 中 ,对 Include/Require 声明 的 文件 名 控制 不 当 (PHP 文件 包 
含 漏洞 ) 
14 | 156 | CWE-129 | 对 数组 索引 验证 不 当 
15 | 155 | CWE-754 | 对 非 正常 或 异常 的 条 件 检查 不 当 
16 | 154 | CWE-209 | 通过 错误 消息 透漏 信息 
17 | 154 | CWE-190 | 整 型 溢出 和 环绕 
18 | 153 | CWE-131 | 对 缓冲 区 大 小 计算 错误 
19 | 147 | CWE-306 | 缺少 对 重要 功能 的 授权 
20 | 146 | CWE-494 | 下 载 代码 却 不 做 完整 性 检查 
21 | M5 | CWE-732 | 对 重要 的 资源 赋 权 不 当 
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CWE-770 


分 配 资源 , 却 不 做 限制 和 调节 
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CWE-601 


重 定向 到 不 受信 任 站 点 的 URL( 开 放 重 定向 ) 
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CWE-327 


使 用 被 破解 或 者 有 风险 的 加 密 算法 


25 38 


CWE-362 


竞争 条 件 


这 25 个 错误 可 以 分 成 3 种 类 型 : 组 件 之 间 不 安全 的 交互 (8 个 错误 ) ,高 风险 的 资源 
管理 (10 个 错误 ) 以 及 渗透 防御 (porous defenses) C 个 错误 ) 。 

组 件 之 间 不 安全 的 交互 通常 是 开发 团队 非常 庞大 的 直接 结果 。 一 个 应 用 程序 中 的 不 
同 组 件 由 不 同 的 开发 人 员 编 写 ,在 该 应 用 程序 完成 和 部 署 之 前 ,他 们 通常 很 少 交流 。 为 了 
减少 这 种 类 型 的 错误 ,所 有 的 代码 都 要 用 文档 记录 清楚 ,这 样 做 至 关 重要 。 文 档 内 容 应 该 
包括 代码 是 干什么 的 ,这 些 代 码 被 调用 时 有 哪些 前 提 假 设 ,为 什么 要 用 到 这 些 假设 ,怎样 
使 用 这 些 假设 等 。 

通过 确认 和 测试 这 些 假设 没有 被 违背 ,可 以 消除 应 用 程序 中 的 许多 缺点 。 列 出 一 个 
特殊 组 件 参考 的 代码 也 很 重要 。 这 种 交叉 参考 有 助 于 确保 部 件 的 变化 不 会 破坏 其 他 地 方 
的 假设 和 逻辑 ,这 样 审 查 人 员 可 以 更 容易 看 到 或 者 理解 哪些 流程 或 者 业务 控制 应 该 进行 
规避 。 为 了 确保 此 项 文档 和 确认 工作 得 到 实施 ,应 该 把 它 作为 设计 和 创建 要 求 的 组 成 


部 分 。 
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开发 人 员 通 常 不 会 意识 到 他 们 在 应 用 程序 中 添加 的 特殊 特点 和 功能 具有 安全 隐患 。 
威胁 建 模 是 解决 这 个 安全 性 与 实用 性 问题 的 好 方法 。 它 不 仅 可 以 提高 开发 人 员 的 安全 意 
识 , 而 且 还 使 应 用 程序 安全 成 为 应 用 程序 设计 和 开发 过 程 的 组 成 部 分 。 这 是 缩小 安全 人 
员 与 开发 人 员 之 间 专 业 知识 差距 的 一 个 很 好 的 办 法 。 如 “敏感 数据 缺少 加 密 ” 和 “关键 功 
能 缺少 身份 认证 ”, 许 多 开发 人 员 没 有 掌握 如 何 创建 运行 在 恶劣 互联 网 环境 中 的 应 用 程序 
的 方法 。 开 发 人 员 没 有 明白 ,他 们 不 能 依靠 防火 墙 和 负责 应 用 程序 安全 的 IDS( 入 侵 检测 
系统 ) ,他 们 也 需要 对 安全 负责 。 

CWE 官网 是 http://cwe. mitre. org/ ,如 图 1-16 所 示 。 


n Common Weakness Enumeration 
v- A Community Developed Dichonary of Software Weakness Types. 


图 1-16 CWE 官网 
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2.1 ZAP 简 介 


OWASP Zed Attack Proxy(ZAP) 是 一 个 易于 使 用 的 交互 式 的 ,用 于 Web 应 用 程序 
漏洞 挖掘 的 渗透 测试 工具 。 既 可 供 安全 专家 、 开 发 人 员 功能 测试 人 员 使 用 ,也 可 供 渗透 
测试 入 门人 员 使 用 , 它 除 了 提供 自动 扫描 工具 ,还 提供 了 一 些 用 于 手动 挖掘 安全 漏洞 的 
LR. 

ZAP 是 一 个 很 好 的 安全 测试 工具 ,在 持续 性 整合 环境 里 面 可 以 很 快 发 现 安全 漏洞 。 
当代 码 被 提交 后 ,配置 好 代理 ,用 Selenium 做 功能 回归 测试 (regression test) ,漏洞 扫 措 
与 渗透 测试 之 后 ,ZAP 将 会 出 一 份 安全 报告 。 
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ZAP 的 特点 如 下 : 

。 免 费 ,开源 。 

| BFR. 

。 易 用 。 

。 容易 安装 。 

。 国际 化 ,支持 多 国语 言 。 
。 文 档 全 面 。 


212 ZAP 的 主要 功能 


ZAP 的 主要 功能 如 下 : 

。 主动 扫描 。 

。 加 载 项 。 

。 警报。 

抗 CSRF 令 牌 。 

* API 

身份 验证 。 

破发 点 (能 被 成 功 攻击 的 突破 点 ) 。 
5 EFX., 

， 筛选 器 。 
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* HTTP 会 话 。 
， 模式 。 

， 备注 。 

: 被 动 扫描 。 

: UBL. 

| 会 话 管理 。 

: ER. 

， 标签 。 

s Hr. 


2.2 安装 ZAP 


本 书 只 介绍 ZAP 2.3.1 Windows 标准 版 的 相关 内 容 。 
221 环境 需求 


ZAP 2.3.1 Windows 版 本 需要 Java 7 的 系统 环境 ,所 以 首先 安装 Java 7 JDK 或 者 
JRE, 然 后 安装 ZAP, 才 可 以 正常 启动 ,否则 将 报 如 图 2-1 所 示 的 错误 。 目 前 也 有 可 以 直 
接 安装 成 功 的 ,但 是 安装 成 功 后 ,启动 ZAP 时 ,会 提示 需要 Java 环境 。 


e Error: Could not create the Java Virtual Machine. 
Error: A fatal exception has occurred. Program will exit. 


This application requires a Java Runtime Environment 1.7.0 


图 2-1 Java 环境 错误 


222 安装 步骤 


下 面 介绍 ZAP 2. 3. 1 Windows 的 整个 安装 过 程 。 
首先 访问 https://www. owasp. org/index. php/ZAP 下 载 安装 包 Zap 2.3.1. 
Windows. exe, 如 图 2-2 所 示 。 也 可 以 到 本 书 配套 网 站 http://books. roqisoft. com/ 
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download 下 载 ZAP 软件 。 


ZAP 2.3.1 Standard 


TT now 
Mac OS/X 2014-05-21 2120 MB Download now 
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双击 Zap_2. 3. 1. Windows. exe 开始 安装 ,首先 出 现 欢迎 界面 , 单 击 Next 按钮 ,如 
图 2-3 所 示 。 


iB) Setup - OWASP Zed Attack Proxy 23.1 


Welcome to the OWASP Zed 
Attack Proxy 2.3.1 Setup Wizard 
This wil install OWASP ZAP Version 2.3. 1 on your computer. 


Itis recommended that you dose all other applications before 
Continuing. 


Click Next to continue, or Cancel to exit Setup. 


图 2-3 欢迎 界面 


进入 接受 协议 界面 ,选中 T accept the agreement, 然后 单 击 Next 按钮 ,如 图 2-4 
所 示 。 


3B) Setup - OWASP Zed Attack Proxy 2.3.1 于 于 


License Agreement 
Please read the folowing important information before continuing 


Please read the folowing License Agreement. You must accept the terms of this 
agreement before continuing with the installation. 


Preamble 


The intent of this document is to state the conditions under which a 
[Package may be copied, such that the Copyright Holder maintains some 
semblance of artistic control over the development of the package, while 
[giving the users of the package the right to use and distribute the 
[Package in a more-or-less customary fashion, plus the right to make 
reasonable modifications. 


24 协议 界面 


第 尼 章 “网 站 漏洞 扫描 与 综合 类 渗透 测试 工具 ZA ^ 


进入 选择 安装 目录 界面 ,可 以 单 击 Browser 按钮 , 自 定义 安装 目录 , 单 击 Next 按钮 
进入 下 一 步 ,也 可 以 采用 默认 目录 ,直接 单 击 Next 按钮 进入 下 一 步 ,如 图 2-5 所 示 。 


i) Setup - OWASP Zed Attack Proxy 23.1 E 


Select Destination Location Rm 
Where should OWASP Zed Attack Proxy 2.3.1 be installed? (ERA 


! Setup wil install OWASP Zed Attack Proxy 2.3.1into the folowing folder. 


To continue, dick Next. If you would like to select a different folder, dick Browse. 


Atleast 94.1 MB of free disk space is required. 


ETS 


图 2-5 选择 安装 路 径 


可 以 单 击 Browser 按钮 选择 开始 菜单 安装 目录 ,也 可 以 采用 默认 目录 ,直接 单 击 
Next 按钮 进入 下 一 步 , 如 图 2-6 所 示 。 


- OWASP Zed Attack Proxy 2.3.1 =. 5 
Select Start Menu Folder m 
Where should Setup place the program's shortcuts? e 


"T Setup wil create the program's shortcuts in the following Start Menu folder. 


To continue, dick Next. If you would ike to select a different folder, dick Browse. 


OWASP Browse... 


El Don't qeate a Start Menu folder 
| mi) 
图 2-6 选择 开始 菜单 目录 


在 这 一 步 , 可 以 选择 Create a desktop icon 创建 一 个 桌面 图 标 ,选择 Create a Quick 
Launch icon 创建 一 个 快速 启动 图 标 ,当然 ,也 可 以 两 者 都 不 选 ,那么 桌面 图 标 和 快速 启动 
图 标 将 不 被 创建 ,如 图 2-7 所 示 。 

创建 好 桌面 图 标 , 单 击 Next 按钮 ,进入 安装 准备 ,如 图 2-8 所 示 。 

确认 所 有 安装 选项 后 , 单 击 Install 按钮 开始 安装 ,如 图 2-9 所 示 。 


Select the additional tasks you would ike Setup to perform while instaling OWASP Zed 


Attack Proxy 2.3.1, then did Next. 
Additional icons: 

[V] Create a desktop icon. 
Create a Quick Launch icon 


图 2-7 创建 桌面 图 标 


iB] Setup - OWASP Zed Attack Proxy 2.3.1 pee 


Ready to Install 
Setup is now ready to begin instaling OWASP Zed Attack Proxy 2,3. 1 on your 
computer. 


Click Install to continue with the installation, or dick Back if you want to review or 
change any settings. 


Destination location: 
C:\Program Fies (x86) OWASP Zed Attack Proxy 


图 2-8 准备 好 安装 


iB) Setup - OWASP Zed Attack Proxy 23.1 


Installing 
Please wait while Setup installs OWASP Zed Attack Proxy 2.3. 1 n your 
computer. 


Extracting fles... 
C:\Program Files (x86) OWASP Zed Attack Proxy Wb Ycommons-collections-3.2. 1.jar. 


图 2-9 安装 进行 中 
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待 安装 完成 后 ,将 进入 安装 完成 界面 , 单 击 Finish 按钮 ,退出 安装 程序 ,如 图 2-10 


[jB Setup - OWASP Zed Attack Proxy 2.3.1 | 


Completing the OWASP Zed 
Attack Proxy 2.3.1 Setup Wizard 


Setup has finished instaling OWASP Zed Attack Proxy 2.3. 1 
on your computer. The application may be launched by 
selecting the installed icons. 


Click Finish to exit Setup. 


图 2-10 安装 完成 


2.3 基本 原则 


ZAP 是 使 用 代理 的 方式 来 拦截 网 站 ,用 户 可 以 通过 ZAP 看 到 所 有 的 请 求 和 响应 ,还 
可 以 查看 调用 的 所 有 AJAX 请 求 ,而 且 还 可 以 设置 断 点 修改 任何 一 个 请 求 ,查看 响应 ,如 
图 2-11 所 示 。 


[is (Quota s = Wt [ee [ x e [ 1i oret Consors | 


| Welcome to the OWASP Zed Attack Proxy (ZAP) 
ZAP s an easto use integraed pert ng eol orinn neas web appicaons 


Please be aware that you should only atack applications fiat you hae been specifically beer given permission to test 


To quicky test an application, entar its URL below and prass tack. 


| | URL to aiser [了 @ Sera. 
| nh LES 


| Pe mem 


图 2-11 查看 请 求 和 响应 


231 配置 代理 


在 开始 扫描 之 前 ,用 户 需要 配置 ZAP 作为 代理 。 

要 在 “工具 ”菜单 中 配置 代理 ,从 菜单 栏 选择 “工具 ”>“ 选 项 ”命令 ,如 图 2-12 所 示 。 
选择 本 地 代理 ,默认 已 经 配置 ,如 果 端 口 有 冲突 ,可 以 修改 端口 ,如 图 2-13 所 示 。 
在 Windows 系统 的 Google Chrome 中 配置 代理 如 下 。 
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文件 编辑 查看 ny 报告 MEM Oniine 帮助 
Standardmode |w] | ] L3 | it. 
1 Browse API 
ij Satipts 
IRE DERS. ChhE 
$us Toggle break on all requests Cua 
Toggle break on all responses cata he OWASP Zed / 
sm Ctri+S 
继续 Ctre lted penetration testing tool for fin| 
E CMX — Du ony attack applications that| 
Add a custom HTTP break point.. CtlrA 
Advanced Acive Scan. CHHAIPA | enterits URL below and press 7 
手动 请 求 编辑 器 Ciri-M 
Run the Garbage Collector " 
Manual Send WebSocket Message 一 一 一 一 一 
y hh E Stop 
nindas 
* 


Ea | «PHtpSessions | 3 ZestResults ] sos jl aO WebSockets | MEAIAX 
e Wer | Xue | Mar | ò xin | W Spider | — Z*ForcedBrows 


图 2-12 配置 代理 菜单 


Active Scan Input Vectors 
AJAX Spider. Euri 
Anti CSRF Tokens 


API Address (eg localhost, 127.0.0.1) localhost 
Applications. 
Authentication (Deprecated) | || | Port(eg 8080) 8080 自 
Breakpoints Ne 
Certificate 
Connection Set your browser proxy setting using the above. The http port and https port must be the 
Database same portas above. 

Dynamic SSL Certificates I ModiyRemove "Accept-Encoding" requestheader 

Encode/Decode 回 Always unzip gzipped content 

Extensions U ia 


Forced Browse Securty Protcols 
Fuzzer 
Global Exclude URL (Beta) 国 ssL3 回 TLs1 国 TLS11 国 TLS12 
Htp Sessions 
Keyboard 
Language 
Search 


Spider. 
WebSockets 
Xii 
报告 

显示 


图 2-13 配置 代理 


单 击 Google Chrome 右上 角 的 按钮 ,选择 Settings 命令 ,如 图 2-14 所 示 。 

然后 单 击 Change proxy settings 修改 代理 ,如 图 2-15 所 示 。 

选择 “为 LAN 使 用 代理 服务 器 ”, 输 入 localhost 作为 地 址 ,8080 作为 端口 , 单 击 “ 确 
定 ” 按 钮 完成 代理 配置 ,如 图 2-16 所 示 。 

在 Windows 系统 的 FireFox 中 配置 代理 如 下 。 

在 FireFox 中 按 住 Alt 键 ,会 显示 菜单 ,选择 Tools Options 命令 ,如 图 2-17 所 示 。 
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[i Newtab Cti T 


New window 


New incognito window 


History and recent tabs , 
Downloads 


Bookmarks ^ 


Zoom - 150% + ea 


Print... Ctri«P 
Find... Ctri+F 


More tools d 


Edit Cut Copy Paste 


vea 


Help and about , Google Chrome is using your computer's system proxy settings to connect to the network. 


"t eA | Change proxy settings. 


图 2-14 Chrome 配置 代理 菜单 图 2-15 Chrome 配置 代理 


Bs Internet Properties me 


General] Security | Prvecy | Coment Conrectons Programs | acvenced] 


To set up an Internet connection, cick Setup 


Setup. 


Dia-up and Virtual Private Network settings- 


ERR Automatic configureton 
一 一 一 一 Automatic configuration may override manual settings. To ensure 
the use of manual settings, disable automatic configuration. 
Remove. 
| Automaticaly detect settings 
Choose Settings f you need to corfigure a proxy Sete rj 
Server for a connection. "E Ure pein oe 
adress 
Proxy sener 
sea proy server for your LAN (These setings wil not apply to 
Hup or VPN connectors]. 
local araa enor (LAN) etn aao xir | Port: 四 |[Aoeneed | 
LAN Sotings do not apply to dial-up LAN satbnge Bypass proxy server for local addresses 
connections. Choose Settings above for dia-up 
settings. 


a - 


图 2-16 Chrome 配置 代理 


Edit View History Bookmarks [T981] Help 


Downloads Ctrl«J 


Add-ons  Ctrl+Shift+A 
nloadenetcom/Goo| Set Up Sync.. 


SQL Inject Me 
Web Developer 
Page Info 


图 2-17 FireFox 的 Tools 菜单 
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弹出 Options 窗口 ,选择 Advanced->Network->Settings 命令 ,如 图 2-18 所 示 。 


aa aera 


General Tabs Search Content Applications Privacy Security 
Genecal[ Data Choices [Network] Update [Certificates 
Connection 

Configure how Firefox connects to the Internet 


Cached Web Content. 
Your web content cache is currently using 2.6 MB of disk space. 
Override automatic cache management. 

Limit cache to | 350 MB of space 


Offline Web Content and User Data. 

Your application cache is currently using 0 bytes of disk space 
[V] Tell me when a website asks to store data for offline use 
The following websites are allowed to store data for offline use: 


图 2-18 FireFox 的 Options 窗口 


选择 Manual proxy configuration 选项 ,在 HTTP Proxy 文本 框 中 输入 localhost ,在 
Port 文本 框 中 输入 8080 , 单 击 OK 按钮 完成 代理 配置 ,如 图 2-19 所 示 。 


Configure Proxies to Access the Internet 
© No proxy 
© Auto-detect proxy settings for this network 


SOCKSv4 @ SOCKS v5 Remote DNS 


No Proxy for: 
localhost, 127.0.0.1 


tape „mozilla.org, net.nz, E HEIL 


E Do not prompt for authentication if password is saved 


L9 ] emm ] [e | 


图 2-19 FireFox 配置 代理 
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在 Windows 系统 的 IE 中 配置 代理 如 下 。 

在 正中 按 住 Alc 键 ,会 显示 菜单 ,选择 “工具 ”>“Internet 选项 ”命令 ,将 弹出 
"Internet 选项 ”对 话 框 ,在 对 话 框 中 选择 “连接 ”选项 卡 , 单 击 “ 局 域 网 设置 "按钮 ,弹出 “局 
域 网 (LAN) 设 置 ”对话 框 ,如 图 2-20 所 示 。 


d 要 设置 Internet 连接 , 单 击 “ 设 置 ” 
挨 号 和 虚拟 专用 网 络 设置 


FMO)... 


添加 VENE)... 
[1:3] 
如 办 要 为 连接 配置 代理 服务 器 ， 请 选择 “ 设 SEG 


局 二 (An 设置 


Me 


图 2-20 下 局 域 网 设置 


在 “局 域 网 (LAN) 设 置 " 对 话 框 中 ,选择 “为 LAN 使 用 代理 服务 器 ”, 配 置地 址 和 端 
口 ,完成 代理 配置 ,如 图 2-21 所 示 。 


自动 配置 
FH 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 
自动 检测 设置 的 
SIG EIEG) 
MER] 


为 LAN 使 用 代理 服务 器 [这 些 设置 不 用 于 拨号 或 VPN ERK 


地 址 [E]: (localhost ROm: (8080 高 级 [C] 
口 对 于 本 地 地 址 不 使 用 代理 服务 器 [B) 


(we J| uw ) 


图 2-21 IER ERE 
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232 ZAP 的 整体 框架 


ZAP 的 整体 框架 包括 用 户 接口 层 ,业务 逻辑 层 


和 数据 层 ,框架 结构 如 图 2-22 所 示 。 
233 用 户 界 面 


漏洞 报告 


下 面 是 ZAP 主 窗口 (图 2-23) 应 包含 的 内 容 : 

。 菜 单 可 以 访问 所 有 自动 化 和 手工 测试 的 工具 。 

， 工具 栏 是 一 些 通用 功能 的 按钮 。 

， 树 窗口 在 主 窗口 的 左边 ,显示 站 点 树 和 脚 
本 树 。 

* 工作 区 窗口 在 右上 方 , 可 以 显示 、 修 改 请 求 、 
响应 和 脚本 。 

。 工作 区 有 一 个 信息 窗口 ,在 工作 区 下 方 , 显 
示 详 细 的 自动 化 和 手工 测试 的 工具 。 

* 最 底部 显示 发 现 的 警告 数量 和 测试 状态 。 


rm 
_ 业务 逻辑 层 | 
人 Lg | 
数据 库 访 问 模块 
l ETEA p 


图 2-22 ZAP 的 整体 框架 


注意 : 为 了 界面 简洁 ,很 多 功能 都 在 右键 菜单 里 面 。 
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ZAP ic an eser to ueo integrated ponatabon testing tooi for finding vlnerabiez in web applicatone 
Place be awaro hat you chould ony atack applicatone tnat you hav boon specifically toon given pormiccion to test. 
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ck Proxy (ZAP) 


* ll P Cross-dormain JavaSript source fle incusion 
P lli Password Autocomglete in browser (2) 

* lll SX Corten-Type-Octons header missing (97) 
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LÌ R M GET-suver questions. prs Bso 
D P weratre css a 
D P GET dscisimer rure | | Prooress: Attack complete - see e Alerts tab for details ofany issues found 
4 PM "UN * 
[ Grm» | Cem | 本 Hpsessims | i ZastRosute 一 ciems | awehsoses | |awxsiee | 办 | 
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图 2-23 ZAP 主 窗 口 


主 窗口 包含 菜单 栏 工具 栏 


234 基本 设置 


菜单 栏 里 面包 含 所 有 扫描 命令 ,如 图 2-24 所 示 。 


\ 应 用 程序 树 、 扫 描 配置 列表 结果 列表 ,状态 栏 。 
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(1) 从 菜单 栏 选择 “文件 ”>“ 新 建 会 话 ” 命 令 ,如 果 没 有 保存 当前 会 话 ,图 2-25 所 示 
的 警告 框 就 会 显示 出 来 。 否 则 就 会 和 默认 界面 一 样 ,输入 攻击 URL. 


OWASP ZAP 


-——— 


9 The current session is not saved. Discard and create new session? 


O 未 命名 会 活 - OWASP ZAP [=] 
(Ess sE 25 sa IA onne um € 


图 2-24 菜单 栏 图 2-25 ”提示 警告 框 


(2) 从 菜单 栏 选择 “文件 ”>“ 打 开会 话 ” 命 令 ,选择 一 个 之 前 已 经 保存 的 会 话 , 该 会 话 
将 会 被 打开 。 如 果 打 开 之 前 不 保存 当前 会 话 , 将 会 丢失 所 有 数据 。 

(3) 从 菜单 栏 选择 “工具 ”>Options 习 “本 地 代理 ”命令 (通过 本 地 代理 进行 测试 ), 如 
图 2-26 所 示 。 


A Options Wi 
Y Options a 
Active Scan Input Vectors 人 LII 9 
AJAX Spider Euri 
Anti CSRF Tokens f 
API Address (eg localhost, 127.0.0.1) localhost 
Applications 
Authentication (Deprecated) Port (eg 8080) 8080 自 
Breakpoints 
Certificate 
Connecion Set your browser proxy setting using the above. The http port and https port must be the 
Database Same port as above. 
Dynamic SSL Certificates 回 ModityRemove “Accept-Encoding” request-header 
Encode/Decode Aways unzip gzipped content 
Extensions. 
Forced Browse CES 
Fuzer qeese— P— I ——— ia, 
Global Exclude URL (Beta) (Jj ss. 3 (Vj ns1 W) TLS 11(7] $12 
Http Sessions 
Keyboard 
Language 
Search 
Spider 
WebSockets 
iih 
报告 
显示 
' 
LLL si 


CIEI 


图 2-26 设置 本 地 代理 


(4) 从 菜单 栏 选择 “工具 ”一 Options 习 Connection 命令 (设置 Timeout 时 间 以 及 网 络 
代理 ,认证 ), 如 图 2-27 所 示 。 

G) 从 菜单 栏 选择 “工具 ”>Options 习 Spider 命令 (设置 连接 的 线程 等 ) ,如 图 2-28 所 示 。 

(6) 从 菜单 栏 选择 “工具 ”>Options 习 Forced Browse 命令 (此 处 可 导入 字典 文件 ) 。 
强制 浏览 是 一 种 枚 举 攻击 ,访问 那些 未 被 应 用 程序 引用 ,但 是 仍 可 以 访问 的 资源 。 攻 击 者 
可 以 使 用 蛮 力 技术 搜索 域 目录 中 未 被 链接 的 内 容 , 比 如 临时 目录 和 文件 以 及 一 些 老 的 备 
份 和 配置 文件 。 这 些 资 源 可 能 存储 着 相关 应 用 程序 的 敏感 信息 ,如 源 代码 、 内 部 网 络 寻 址 
等 ,所 以 这 些 被 攻击 者 作为 宝贵 资源 ,如 图 2-29 所 示 。 
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图 2-27 设置 连接 


图 2-29 强制 浏览 


下 面 举 一 个 例子 ,通过 枚 举 渗透 URL 参数 的 技术 进行 可 预测 的 资源 攻击 。 
某 个 用 户 想 通过 下 面 的 URL 检查 在 线 的 议程 : 
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www. site-example. com/users/calendar. php/user1/20070715 

在 这 个 URL 中 ,可 能 识别 用 户 名 (userl) 和 日 期 (yyyy/mmy/dd) ,如 果 这 个 用 户 企图 
去 强制 浏览 攻击 ,可 以 尝试 下 面 的 URL: 

www. site-example. com/users/calendar. php/user6/20070716 
如 果 访 问 成 功 , 则 可 以 进一步 攻击 。 

(7) 从 菜单 栏 选择 “分 析 ”>Scan Policy 命令 ,如 图 2-30 所 示 。 


y Scan Policy 
iih Scan Policy |. 
信息 收集 Policy name: Default Policy 
TARIAS 
服务 器 安全 Default Alert Threshold: [Medium 国 (Default threshold) 
注入 
Toit DefautAtackStrengir: (Modum jg) Defaut atacs) 
Passive Alert Threshold: | Medium 国 (Default threshold) 
| aego [Threshold — (Strength | 
信息 收集 Default Default 
FARAS Default Default 
服务 器 安全 Default Default 
RMR Default Default 
注入 Default Default 
[ea 
Thresholds and strengths can be changed by clicking on them OK | mi 
图 2-30 扫描 策略 


235 工作 流程 


工作 流程 如 下 。 

COD RR: 使 用 浏览 器 来 探索 所 有 的 应 用 程序 提供 的 功能 ,打开 各 个 URL, 单 击 所 有 
按钮 ,填写 并 提交 一 切 表单 类 别 。 如 果 应 用 程序 支持 多 个 用 户 ,那么 将 每 一 个 用 户 保存 在 
不 同 的 文件 中 ,在 使 用 下 一 个 用 户 的 时 候 启动 一 个 新 的 会 话 。 

(2) Rub. 使 用 朴 虫 找到 所 有 网 址 。 爬 虫 朴 得 非常 快 ,但 对 于 AJAX 应 用 程序 不 是 
很 有 效 , 这 种 情况 下 用 AJAX Spider 更 好 ,只 是 AJAX Spider f& £738 BE 2:18 4R 4, 如 
图 2-31 所 示 。 


图 2-31 AJAX Spider 


O 暴力 扫描 : 使 用 暴力 扫描 器 找到 未 被 引用 的 文件 和 目录 。 

(4) 主动 扫描 : 使 用 主动 扫描 器 找到 基本 的 漏洞 。 

(5) 手动 测试 : 上 述 步 骤 或 许 找到 了 基本 的 漏洞 ,但 为 了 找到 更 多 的 漏洞 ,需要 手动 
测试 应 用 程序 。 


`o vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭 私 


(6) 另外 还 有 一 项 端口 扫描 的 功能 , 供 辅 助 测试 用 (和 安装 配置 环境 相关 ,有 的 安装 
后 可 能 没有 该 项 功能 ) 。 端 口 扫描 不 是 ZAP 的 主要 功能 , Nmap 端口 扫描 工具 更 为 强大 ， 
这 里 不 再 详 述 。 

(7) 由 于 ZAP 可 以 截获 所 有 的 请 求 和 响应 ,意味 着 所 有 这 些 数据 可 以 通过 ZAP 被 修改 ， 
包括 HTTP, HTTPS, WebSockets 和 Post 信息 。 图 2-32 所 示 的 按钮 是 用 来 控制 断 点 的 。 


xXis-eti 


H232 控制 断 点 按钮 


在 Break 选项 卡 中 显示 的 截取 信息 都 是 可 以 被 修改 再 提交 的 。 自 定义 的 断 点 可 以 根 
据 使 用 者 定义 的 一 些 规则 来 截取 信息 。 


2.4 自动 扫描 实例 


下 面 用 国外 测试 网 址 http://demo. testfire. net/ 作 为 实例 来 讲解 ZAP 自动 扫描 。 
241 扫描 配置 
配置 代理 ,如 图 2-33 所 示 。 
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选择 扫描 模式 ,如 图 2-34 所 示 。 


文件 编辑 查看 分 析 报告 IB Online 帮助 
(Gandara mode 12) | 
rm 


Safe mode: will not allow you to do anything potentially dangerous 
Protected mode: will only allow you to do potentially dangerous things on items in Scope 
Standard mode: will allow you to do potentially dangerous things on anything! 


H234 扫描 模式 
配置 扫描 策略 ,如 图 2-35 所 示 。 


Polic 
Client browser 
Information gathering Policy. Default policy 
Injection 


Miscellaneous Default Alert Threshold: (Default threshold) 


Server security Defaut tack Strength: [medium (y) Oefautt attacks) 


Apply (Defaut 加 meshodTo (an — |wRues| Gc | 


Scan Policy 


| Apphy|Detsut wStengnTo |i jv) Rues | Go | 


| Strength 
Client browser Default 
Information gathering Default. 
Injection Default 
Miscellaneous. Default 
Server security Default 


Thresholds and strengths can be changed by clicking on them [eare ] [ox ) 


图 2-35 扫描 策略 


242 扫描 步骤 


扫描 步骤 如 下 。 
) 输入 要 攻击 的 网 站 的 URL, 如 图 2-36 所 示 。 


一 


Welcome to the OWASP Zed Attack Proxy (ZAP) 
Diei an easy se tegrated onetaton teshng too hrinang uneramites m weh sppictone 
Please ne auare mat you shouid oniy atack spieatene too nave been specal been pen permission totest 


Te quiciytstar application, onter its URL below and prass ‘Mack 


URL to atack Tree se | 


ES a " 


Progress: tackcompiee -aze he Alerts tab for details of smy issues found 


Fora more in dep testyou shouid exglore yout acolcar using vour browsar or auiomated regression tests while oroin g ouoh ZAP 


Kyou te using Firefox 24.0 or ater you can use Plu-Hace lo confure your browser: 


Confgur your browser ( PB PugnHscr 


Or pointvourbronser t [nz rlocaostécSdpniy 


图 2-36 输入 待 攻击 网 站 的 URL 
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(2) 单 击 Attack 按钮 ,ZAP 将 会 自动 仆 取 这 个 网 站 的 所 有 URL, 并 进行 主动 扫描 。 
(3) 等 待 攻 击 结束 ,将 看 到 图 2-37 所 示 的 界面 。 


Welcome to the OWASP Zed Attack Proxy (ZAP) 
Iiis an easy to use tegrated ronetaton testing taa beranang winerabes n weh sppictons 
Please ne auare at cu should cvy atac appieatons al oo hare been spectealy been gwen permissione test 


Te quiciytsstan application, enter ts URL below and press "Atac. 


wem 区 


= Lid ] mue 


Progress: Attack complete - ste he Alerts tab for details ct any issues found 


uM ~” [ee 


Fora more in dep est ou shouid olore our acclcaon using vour browser or ajlomated regression test while proi g ouch ZAP. 


Kyou ate using Firefox 24 0 o ilr you can use PlugYHHacx lo confoure your browser 


Caouayoubrwaer | PB Pugna 


Ot pont vor bromsar at [ntzllocanosteC8O pnl 


图 2-37 攻击 完毕 


选择 Active Scan 选项 卡 , 可 以 看 到 完成 100% ,如 图 2-38 所 示 。 


E Hton [ inan [ Pr nere | opa [ X anat pon [Premi [W on [ > Foree brome [ronem | ic [ Q roa | rome Lesl 
|] Newsean Progresa: (0 ney aderno tele re 到 一 一 2 一 一 一 一 (Curenl 
ja Tea Tmesiamp (Ress. Terum. (ems v Com 

194 any 131310 tao iio cer tap sema lesro ne 11111111114 1I LINEBANE am 
vns avit 131309 Devis io Posr Mo saem tesse ntommert aspe 20 
08 api ar o umns iit cer Hap soemo tesen 1411111114 LLLA am 
1387 oap o rn taps aant GET Mo kemolesieeri 1411 11414171J L 1 odass, am 
1808 04011513 1510 tovs tont POST Mo ödem testre nro ert asor m 
189 oann 3 r8 n Dore nn cT Mb jdeme lese nett SC 6C AC SC WC % am 
180 0406 1 r8 n mi Post Mo jemm teste nekomvvert asor E 
AT Quot to n r2 taois 131312 cT Mo Jerma testre nev SC SC 6C SC WC % am 
4802 Du0WH5 导 位 位 Movit cm Mo admo lestre vei SAC SUC SUC WEC NIC à am 
1730001151313 人 2 taps nas Post Mo idemo testre nommer asot m 
V3 04015131319 Monito cr ModemolesreneLLLLLLLLLLLLLLU NEBESNE am 
185 001115131219 moins toà ar Mo dematesgreney 1111111111111 Windows am 
450 Qut a Moms toa E Moidemetesre ney L11LLLLLLLLLLL cpassnd am 
157 00115131319 maons 131314 PosT Mo demo testre neteorm er asor m 
450 ouas 131314 tons 121315 ar Mb idemo testre nel NGC, NEC. NEC NEC. NEC N50. am 
4578 Gupta Domit ar Moidenotesiee net. EC NSC NEC AC 5.50- am 
4300 owman 131315 Dane 131316 E: P idemo testre net. SEC NGC. NEC NEC WSC. NEC. am 
Note R4 P3 i6 MT 


图 2-38 Active Scan 选项 卡 


选择 Spider 选项 卡 ,可 以 看 到 也 完成 100% ,如 图 2-39 所 示 。 


ew [cow [ Poner oma | sr Por [ 3 roe com [ oen [ etre [ por oem [ rn [ru [om [v sons [ c zer | cre [a] 
eNews Progress o mmp nemo resme net mj 人 B UE a OSOR, 
FE 


[3 Tum | 
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图 2-39 Spider 选项 卡 


选择 “警报 ?选项 卡 ,可 以 看 到 扫描 出 来 的 所 有 漏洞 ,如 图 2-40 Br 
双击 每 一 个 漏洞 可 以 看 到 测试 数据 ,如 图 2-41 所 示 ,可 以 根据 手工 检查 结果 修改 各 
个 选项 。 
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Spejer |xas D xiii | Spider | Z^ Forced Browse | Qj Fuzer | J51 | 4$ Ht Sessions 
o HEREDSSETBEEET. 
"(ig ERE) 

Sure EARRA TEL RR 


* (li R Cross Site Scripting (Reflected) (4) 

> (ili P SQL injection 2) 

* (ili P Application Error disclosure (2) 

* (il P Directory browsing (2) 

* (ili F Cookie set without HttpOnly fag (55) 

* (li F Cross-domain JavaScript source file inclusion. 
* (ill: Password Autocomplete in browser (2) 

* (ill F X-Content-Type-Options header missing (98) 
> È P X-Frame-Options header not set (63) 


您 还 可 以 通过 双击 它们 未 编辑 这 些 警 报 。 


图 2-40 “警报 ”选项 卡 (扫描 结果 ) 


文件 编辑 查看 分 怕 报告 工具 Onine ME 
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了 了 国 Ri 上 
Y ED Rhttp//demo testire net 

C] R H GET:defauitaspe 
L) M MGET- default aspicontent 
L] R M GET/Privaoypolizy zs pr[sec template) 

> D Pi Wadmin 

> L3 fI bank 
C] R M GETfeedback aspr 
C) R WGET:cgiexe 
L] R #GET:survay_questions.aspx 
L] P WGET:syle.css 
L] P WGET-dscalmerhtm(ut) 


L] F W GET:high_yield_invesiments.htm 
L) F W GET:dafauit aspicontentjot) 
C] 内 GETbank 


p [3 m wmanae 
Ei 


L] M MPOST.commentaspr(sfie comments email_acdr. name subjed,subi 


Cross Site Scripting (Reflected) 


URL. — jtp;/demotestfre.netinofound aspr?asprerrorpath=%3C%2Fb 


[Rsk (Hgh 
|Reliabltr. | Warning 
|Parameter. aspxerrorpath 


[atace — [«b»«saipbalertt) scipb»«b» 


Evidence: | «b»«scripbalert(1). scrip «b» 


Cross-site Sciptng (XSS) is an attack technique that involves echoing att; 
instance can be a standard web browser dient, or a browser objectembe 


» (ili f SOL injection (2) 

ll P application Error disclosure 2) 

P li Dir ctor browsing (2) 

> (ll F Cookie set without HttpOnly tag (55) 


P Ñ F Cross domain JavaScript source fle inclusion 
anm 


"me QER X6 D xi * Spider. ^ Fe an RSS reader, or an emal clent The code itself is usually written in HTM | 
OKJ Site 
TI URL: 
M k 
demo lesre nelsearch SRS 
E POST: htp:idemotestfire.nevbankiogin aspx 
[* POST: htpydemotestfre neycommentaspx idence: 


m Use a vetted library or framework that does not allow this weakness to ot 
arid 
Description: Š 


Phase: Architecture and Design 


ores (m ] [8] 


browser 


图 2-41 查看 漏洞 测试 数据 


图 2-42 是 SQL 注入 漏洞 测试 数据 ,也 可 以 根据 手工 检查 结果 修改 各 个 选项 。 
打开 扫描 的 站 点 ,可 以 看 到 发 送 的 所 有 请 求 ,如 图 2-43 所 示 。 


243 进一步 扫描 


接 下 来 可 以 通过 Force Browse 选项 卡 继续 对 网 站 进行 强制 浏览 。 

这 里 的 站 点 列表 包含 的 是 浏览 器 打开 的 网 站 ,所 以 要 先 用 浏览 器 打开 http://demo. 
testfire. net/ ,才能 在 站 点 列表 里 选择 demo. testfire. net:80, 然 后 从 List 里 面 选择 一 个 文 
件 , 单 击 Start Force Browse 按钮 开始 ,如 图 2-44 所 示 。 
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SQL Injection 


httpJldemotestire nebanklcgin aspr 


[passw 


IAPOR'T-4— 


SQL injection may be possible. 


The page results were successtully manipulated using the 
boolean conditions [ZAP AND "t^t —] and [ZAP OR "T2 - ] 
The parameter value being modified was NOT stipped from the. 


Donct trus! chent side input, even i there is chent side validation 
in place. 
In general, ype check all data on the server side. 


图 2-42 SQL 注入 漏洞 测试 数据 


iG 


"e no 
TÈ Phtpadenc sto net 


'GETCopy Borrov aspe 
'GETCopy R) f fcback aspe 
GET Copy of leechackaspt 
GET.Com (ot dett aspe 
7 A GET:Copy 2 rasta apr 
P EÈ A Copy ottan 
7| GET Copy of defaut aspe 
GETCopy (9 ot Prvacpole aspe 
7 ANGET Copy 2) of Prkacpole aspe 
7 NGET Copy dfPruaqroiaraspr 
GETobetstt 
CETatamapm 


7 f M GET Paco aspssclempta) 中 


Proges: no-cache 
Cache-Control: no-cache 
Content-Length: à 


jort: deno. tertia net 


(ET rttoi/ [dene testfire.net Cop 20 (2)X00ofatsearch aspx HTTP/1,L 
User-Agent: Merilla/4.0 (compatible; IGIE 6.0; Windows NT 5.85) 


(Cocklet ssp.IET Sessionzéepjzidfjutescprjnirbytris 


图 2-43 被 扫描 的 站 点 发 送 的 所 有 请 求 


Req. Timestamp 


| Resp. Timestamp 


Nens R4 53 5 R1 


图 2-44 Force Browse 选项 卡 
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从 左边 的 树 中 查看 截取 的 请 求 ,并 选择 Generate anti CSRF test FORM 选项 ,如 
图 2-45 所 示 。 


LÌ R GET:Copy (3) of Privacypolicy. aspx POST http://demo. testfire. 


LÀ R GET:Copy (2) of Privacypolicy aspx User-Agent: Mozilla/4.0 (c 
|] R GET-Copy of Privacypolicy.aspx Pragma: no-cache 

|] M MGETrobols bt. Cache-Control: no-cache 
|] M M GETssitemapxmi Content-Type: application, 


Content-Length: 78 


[À M M GETPrivacypolicy aspr(sec template) Host: deno.testfire.net 


[À R'GETPrivaeypolicy aspr(sec.sleep 5s lemplae) 

癌 R GET Privacypolicy - Copy.aspx 

|] R'GETPrivacypolicy - Copy (2).aspx 

L] RGETPrivacypolicy - Copy (3).aspx 

[À R'GETPrivacypolicybackup.aspi | 
> E Ri M bank 

|] M MGET defaultaspx. |cfile-coments.txtiname- 

L] M GET default aspx(content) 

|] M GETfeedbackaspx 

[ M M GETssurvey, questions.aspr 

C] M M GETssyle.css 

L) M M GET.search.aspx(btSearch) 
| i M GET disclalmerhtm(url) 


LÌ M MGET.high yield inestmenshtm — | Attack 

LÌ M M GET retirement htm. Delete 

LÌ M WGETinside_points_of interesthtm | Indudein Context 

C M W GETsevererroraspi(asprerrorpah) | Flag as Contest 

Run application 
Exclude from Context 
Resend. 

New Alert. 

Showin History tab 
Open URL in Browser 
Copy URLs lo dipboard 
Exclude from » 
Break.. 

Alerts for this node. > 


X 


vvv 


Invoke with script L 
Add o Zest Script > 
Record Zest dient script trom node... 


图 2-45 Generate anti CSRF test FORM 项 


此 时 将 打开 一 个 新 的 选项 卡 CSRF proof of concept, 它 包含 POST 请 求 的 参数 和 值 ， 
攻击 者 可 以 调整 参数 值 ,如 图 2-46 所 示 。 


IB Suggested Sites » É) Web Slice Gallery v. ij. Softstub £) index new 


http://demo.testfire.net/comment.aspx 


cfile comments txt 


comments 
email addr |ZAP 


name 


subject «scriptalert("hello")«/script» 


submit Submit 


Submit. 


图 2-46 伪造 请 求 
对 于 某 个 请 求 可 以 登录 后 重新 发 送 测试 ,如 图 2-47 所 示 。 
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RI GET Copy (3) of Privacypolicy aspx 
P GET:Copy (2) of Privacypolicy aspx 
[ R GET:Copy of Privacypolicy aspx 
] R # GET:robots bt 
P M GET:sitemapxml 
P M GETPrivacypolicy aspr(sec template) 
RIGET Privacypolicy asprí(sec.sleep 5s template) 
P GET Privacypolicy - Copy asp 
P GETPrivacypolicy - Copy (2) aspx 
PIGET Privacypolicy - Copy (3) aspx 
R GET-Privacypolicybackup aspx 


3L 


C 


3L) CCSESESESESESE 


Indude in Context 


DODOL 
? 
* 
9 


he 1: Form-based Auth Login request. 
Run application 
Exclude from Context 
Resend. ubject submit) 
New Alert. 
Showin History tab 
Open URL in Browser 
Copy URLs to dipboard 
Exclude from. » 
Break. Adive Scan | 内 Spider | A Fc 
Alerts for this node > 
Generate anti CSRF test FORM 
Invoke with script » 
Addo Zest Script » 
Record Zest dient script from node.. 
Compare 2 requests 


L3 


IDOL 


Compare 2 responses 
Monitor dients 

Indude Channel Url in Context 
Exclude Channel Uri from Context > 
Refresh Sites tree 


Save Raw » 


Y 


图 2-47 登录 


244 扫描 结果 
等 到 所 有 扫描 都 结束 ,选择 “警报 ”选项 卡 ,查看 最 终 测 试 结果 ,如 图 2-48 所 示 。 


> (ili A Cross Site Scripting (Reflected) (4) 

* (lj SoL Injection (2) 

* È P Application Error disclosure (2) 

(il R Directory browsing (2) 

> (illi '; Cookie set without HttpOnly fiag (55) 

* I] F Cross-domain JavaScript source file inclusion 
» i F Password Autocomplete in browser (2) 

» I] £F: X-Content-Type-Options header missing (98) 
* (ili f X-Frame-Options header not set (63) 


图 2-48 扫描 结果 
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最 后 生成 测试 报告 ,提交 给 开发 人 员 , 开 发 人 员 根据 报告 修补 漏洞 。 
2.5 手动 扫描 实例 


251 扫描 配置 


根据 2. 3. 1 节 介绍 的 配置 代理 的 方式 ,选择 自己 喜欢 的 浏览 器 ,为 浏览 器 配置 
代理 。 

以 FireFox 为 例 , 按 住 Alt 键 ,会 显示 菜单 ,选择 Tools Options 命令 ,如 图 2-49 
所 示 。 

弹出 Options 对 话 框 ,选择 Advanced Network Settings 命令 ,如 图 2-50 所 示 。 


-一 
1535 2 à om 
General Tabs Search Content Applications Pray Security Syne 
| General | Data Choices. Update] Certificates] 


Connection 
Configure how Firefox connects to the internet 
Cached Web Content 
Your web content cache is currently using 26 MB of disk space 
| Qveride automat cache management 

Vest caheto [ 3505. MB of space 
Hine Web Content and User Data. 
Your application cache is currently ing 0 bytes of diik space 
V. Tel me when a website asks to store data for offline use 


The following websites are allowed to store data for offline use: 
Downloads. Ctl«) 


Add-ons — CuleShifteA 


图 2-49 FireFox 的 Tools 菜单 H 2-50 FireFox 选项 窗口 


选择 Manual proxy configurations 选项 ,在 HTTP Proxy 文本 框 中 输入 localhost «TE 
Port 文本 框 中 输入 8080 , 单 击 OK 按钮 完成 代理 配置 。 
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(1) 启动 ZAP。 

(2) 在 FireFox 浏览 器 里 输入 要 扫描 的 网 址 , 回 车 ,如 图 2-51 所 示 。 

现在 从 ZAP 里 面 的 站 点 位 置 就 可 以 看 到 刚刚 访问 的 网 站 ,如 图 2-52 所 示 。 

(3) 疏 行 。 右 击 站 点 ,选择 Attack->Spider 命令 ,就 会 开始 爬行 该 站 点 ,如 图 2-53 所 
示 。 疏 行 时 间 根 据 网 站 大 小 而 定 ,现在 等 待 假 行 完成 。 

这 里 测试 的 网 站 较 小 ,所 以 疏 行 很 快 , 如 图 2-54 所 示 。 

(4) 主动 扫描 。 现 在 可 以 进行 主动 扫描 站 点 ,选择 Attack Active Scan 命令 开始 主 
动 扫 描 , 如 图 2-55 所 示 。 主 动 扫 描 过 程 如 图 2-56 所 示 。 


Altoro Mutual 


(€ @ demottestfire.net 
SS 


访问 最 多 [Getting Started 


"ig 当前 网 页 的 滞 言 为 英文 ， 是 否 希 要 翻译 为 中 文 ? 


ItoroMutual (uf 


图 2-51 在 FireFox 中 访问 网 站 


AS Untitled 
Eile Edit View Analyse Report Tools Online Help. 
(Standara mode jm) | G Gi] WE 7 (Qj 己基 加 :日 


> 国 http//addons.g-fox cn 


> L RihttpJ/ccivfirefoxchina.cn. 


T7 Ri htipi/demo testire net 


* 国 Pi http;idownload.cdn mozilla net 
L3 ntpywwwin ascocom 


图 2-52 集成 开发 环境 中 站 点 树 


Ci Contexts 
7 了 图 Psites 
> k httpJaddons 9-fox cn 
> E htpJadu.gfoxcn 


Jy Adive Scan 


Delete. 


AM Spider. 
Include in Context P| Z^ Forced Browse site 
Flag as Context P | A Forced Browse directory 
Run application P | Z^ Forced Browse directory (and children) 
Exclude from Context >| -- PortScan host 
Resend. Mb AJAX Spiderin Scope 
New Alert. 3 AJAX Spider Site. 
Showin History tab 
Open URL in Browser 
Copy URLs to dipboard 
Exclude from. k 
Break. 


Alerts for this node 
Generate anti CSRF test FORM 
Invoke with script. 
Add o Zest Script » 
Record Zest dient script from node. 
Compare 2 requests 

Compare 2 responses 

ed Monitor cients 

Include Channel Url in Context 
Exclude Channel Uri from Context 


Refresh Sites tree 


Save Raw » 


图 2-53 THA 
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seen [M aec EI EE 
Wav Sen Poges i mtp morno ween (| 1 m 
p 


本 | 本 see [ y tese [Ca 
4 Core Sca 0 Fund 110| 


passag 


ecccccoceDeccce 


888888888 
H 


Delete spider 


Include in Context P| 六 Forced Browse site 
Flag as Context P | A Forced Browse directory 
Run application P | 入 Forced Browse directory (and children) 
Exclude from Context P| SZ Por Scan host 
Resend. A AJAX Spider in Scope 
New Alert. $ AJAX Spider Site. 

Show in History tab. 

Open URL in Browser 

Copy URLs to dipboard 

Exclude from » 

Break. 

Alerts for this node » 


Generale anti CSRF test FORM 
Invoke with script 

Add to Zest Script 

Record Zest dient script from node... 
Compare 2 requests 

Compare 2 responses 

Monitor dients 

Include Channel Url in Context 
Exclude Channel Url from Context 


Refresh Sites tree 
Save Raw » 


图 2-55 启动 主动 扫描 


T Hator [ 5 Sect [ Pens | oun T B Soit T X bvar Poris Jipii Som a ` Forces rene [ 2: Fetscn [ race | [Parama | 4 tv Sessions [ i Zonen | | 
A Newsen mane rnozenotomene m] Si Ci BT ^ urert scans 1IN| 
k RaTmesane (Ress Timestamp Method um ‘Code | Reason 

ET [or r ep erts ne ECTS A 111 40 reos 

s osons roast p ET Dép iere ne cepa Sei am robes 
pl osans du am Mese ne ED NSCN Pc NC em i 4th Bad Rege 

Ey osone zau amns i241 ri Tiri net DC NSCR ac asp ^ area 
p Qeon zaet r Meier esl net NER NER Cunt metuis 400 BadRequ 
pm pd ET Meere rine De Heuer ma 4 Badegu 
p tems 124 P Tec ese ne OM owns S SAC 03 Forbgden 

fn osons zaet pd ær Ter to EDO PI Sadcenut rop Am Boarea 
p osans rants ær Mapiterc eire nett 1 11111111 INEB "I 
proe osans izaen oer Ap saem ese re EDAN nn arans 0h Fate 

fi osons zanie deas 2c ri o adia neta. EN 4) Fato 

Ss 05012420 Ogmns T24424 e TI am qnem 
pm p ar Mp žemo esi net PASC. NGC NGC NGC NC MEC an denen 
p dents 2e Li Herne net DAGC. NEC. NEC NEC NEC NIC. 403 Fabdem 
p genns zz cer Tres ni EC RrscSza GL 1 4» Food 

S9 vis wzaszs eov T2440 ET apres pceyaICTeOhwgmuasy 111 45 Fomoen 

Saa osons toe EI am Mp tame eire net SOASC MSC NEC M5C NEC MEC a Fetter 


图 2-56 主动 扫描 中 
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等 到 扫描 结束 ,查看 Alerts 选项 卡 ,可 以 看 到 所 有 扫描 出 的 漏洞 ,如 图 2-57 所 示 。 导 
出 报告 ,把 报告 发 给 开发 人 员 ,开发 人 员 将 根据 扫描 结果 列表 去 修改 漏洞 。 


)/ ws 


> (iij P Application Error Disclosure (10) 

> (i P X-Frame-Options Header Not Set (119) 

> (lj? Absence of Anti-CSRF Tokens (67) 

* (ili Cookie set without HtipOnly fag (86) 

* (il F Cross-Domain JavaScript Source File Inclusion 


> ü F Information Disclosure - Debug Error Messages (6) 
* (Ñ F Password Autocomplete in browser (3) 

* (ili F Web Browser XSS Protection Not Enabled (119) 

> (ili F X-Content-Type-Options Header Missing (120) 

> 篇 P Charset Mismatch (60) 

» (il P WSDL File Passive Scanner (2) 


图 2-57 扫描 结果 


也 可 以 所 有 扫描 都 是 手工 息 行 , 单 击 每 一 个 页 面 , 填 写 并 提交 每 一 个 表单 , 单 击 每 一 
个 按钮 ,集成 开发 环境 里 面 会 列 出 所 有 手工 操作 所 到 达 的 页 面 。 


2.6 扫描 报告 


261 集成 开发 环境 中 的 警报 
执行 结果 警报 如 图 2-58 所 示 。 


fpe|Asm Xa D tiai | 
9 


"(m ERO 
* (li e Cross Site Scripting (Reflected) (4) 
> (il SQL Injection (2) 
(il P Application Error disclosure (2) 
> ü Ri Directory browsing (2) 
> ü F Cookie set without HttpOnly flag (57) 
* È F Cross-domain JavaScript source file inclusion (5) 
> È F Password Autocomplete in browser (3) 
* (li F X-Content-Type-Options header missing (119) 
* (ili P X-Frame-Options header not set (78) 


R2 R2P4R 


图 2-58 执行 结果 警报 


262 生成 报告 
还 可 以 从 菜单 里 面 导 出 报告 ,如 图 2-59 所 示 。 
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ETT Tools onine Help 
Export Messages to File... 
Export Response to File... 
Export All URLs to File. 

Compare with another Session... 
Generate HTML Report.. 
Generate XML Report.. 


图 2-59 生成 报告 


Y LJ Scripting 
Y | | Seinte 


下 面 介绍 Report 菜单 中 的 各 个 菜单 项 。 

(1) Export Message to File, 将 信息 导出 到 文件 中 。 从 History 选项 卡 选择 要 存 的 信 
息 ,可 以 按 住 Shift 键 选择 多 个 信息 。 

(2) Export Response to File, 导 出 响 
定 信息 。 

(3) Export All URLs to File, 将 所 有 访问 过 的 URL 导出 到 文件 。 

(4) Compare with another Session, 与 其 他 会 话 比 较 , 这 个 菜单 基于 用 户 保存 的 以 前 
的 会 话 进行 比较 。 

(5) Generate XML Report, Æ XML 格式 的 包含 所 有 警报 的 报告 

(6) Generate HTML Report, 生 成 HTML 格式 的 包含 所 有 警报 的 报告 
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选择 Report Generate HTML Report 命令 ,导出 后 查看 ,报告 中 统计 了 警报 ,并 且 
对 每 个 警报 给 出 了 详细 描述 ,发生 的 URL, 参数 ,攻击 输入 的 脚本 ,同时 给 出 了 解决 方案 ， 
如 图 2-60 所 示 。 这 不 仅 可 以 让 测试 工程 师 学 习 到 很 多 知识 ,并 且 开 发 工程 师 在 修改 的 时 
候 也 不 用 太 费 时 ,多 看 报告 就 会 有 许多 收获 ,不 仅 知道 有 哪些 常见 的 漏洞 ,还 知道 攻击 者 


应 信息 到 文件 中 。 从 History 选项 卡 里 选择 特 
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图 2-60 查看 报告 


ve/ vw 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


是 如 何 利用 这 些 漏洞 进行 攻击 的 ,如 何 能 修复 这 些 漏洞。 
27 本 章 小 结 


ZAP 工具 包含 了 拦截 代理 、 自 动 处 理 , 被 动 处 理 、 暴 力 破解 以 及 端口 扫描 等 功能 , 除 
此 之 外 ,爬虫 功能 也 被 加 入 了 进去 。ZAP 具备 对 网 页 应 用 程序 的 各 种 安全 问题 进行 检测 
的 能 力 ,首先 要 确认 将 ZAP 加 入 到 代理 工具 中 ,安装 后 启动 ,让 浏览 器 通过 代理 对 其 网 络 
数据 交换 进行 管理 ,之 后 再 做 一 些 相 关 测 试 。 

测试 前 最 好 能 通过 分 析 来 修改 测试 策略 ,以 避免 不 必要 的 检查 ,然后 再 选择 开始 扫描 
来 对 站 点 进行 评估 。 

ZAP 最 大 的 优点 除了 在 进行 扫描 操作 时 所 表现 出 来 的 抓 取 能 力 外 ,还 表现 在 它 的 扫 
描 报 告 中 。 这 是 其 他 安全 扫描 工具 不 具备 的 功能 ,如 W3AF 是 功能 强大 的 扫描 工具 , 报 
告 内 容 却 不 详细 。 初 学 者 多 看 ZAP 报告 ,对 于 了 解 Web 安全 有 非常 大 的 好 处 。 

测试 人 员 还 可 以 通过 修改 预 置 参 数 来 熟悉 各 种 攻击 原理 ,这 对 于 测试 人 员 在 测试 技 
能 方面 的 提高 也 非常 有 帮助 。 

请 记 住 一 条 原则 性 忠告 : 不 要 在 不 属于 自己 的 站 点 或 应 用 程序 上 使 用 安全 测试 工 
具 , 因 为 这 些 攻击 可 能 涉及 法 律 上 的 纠纷 。 不 管 是 使 用 这 里 介绍 的 ZAP 工具 还 是 后 面 介 
绍 的 其 他 测试 工具 ,都 必须 记 住 这 条 忠告 。 


1. 简 述 Zap 工具 的 使 用 方法 。 


2. 简 述 各 个 攻击 方式 原理 。 
3. 尝试 读 懂 测试 报告 的 各 项 含义 。 
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3.1 AppScan 简介 


Rational AppScan( 简 称 AppScan) 是 一 个 产品 家 族 ,包括 众多 的 应 用 安全 扫描 产品 ， 
从 开发 阶段 源 代码 扫描 的 AppScan Source Edition. S] £F XI. Web 应 用 进行 快速 扫描 的 
AppScan Standard Edition, 以 及 进行 安全 管理 和 汇总 整合 的 AppScan Enterprise Edition 
等 。 我 们 经 常 说 的 AppScan 就 是 指 的 桌面 版 本 的 AppScan, 即 AppScan Standard 
Edition。 其 安装 在 Windows 操作 系统 上 ,可 以 对 网 站 等 Web 应 用 进行 自动 化 的 应 用 安 
全 扫描 和 测试 。 

它 包 含 了 可 帮助 保护 站 点 免 受 网 络 攻击 威胁 的 最 高 测试 方法 ,以 及 一 整套 的 应 用 程 
序数 据 输出 选项 。 

AppScan 是 业界 第 一 款 并 且 是 领先 的 Web 应 用 安全 测试 工具 包 ,也 是 唯一 一 个 在 所 
有 级 别 应 用 上 提供 全 面 纠正 任务 的 工具 。 在 商业 安全 扫描 工具 中 提供 简体 中 文 支持 的 ， 
目前 也 只 有 AppScan 一 个 。 


311 AppScan 的 测试 方法 


AppScan Standard Edition 采用 3 种 不 同 测试 方法 ， 

(1) 动态 分 析 ( 黑 盒 扫 描 ) : 这 是 主要 方法 ,用 于 测试 和 评估 运行 时 的 应 用 程序 响应 。 
本 书 主要 介绍 该 方法 的 使 用 。 

(2) 静态 分 析 ( 白 盒 扫描 ): 这 是 Web 页 面 上 下 文中 分 析 JavaScript 代码 的 独特 
技术 。 

(3) 交互 分 析 (Glass Box( 玻 璃 盒 ) 扫 描 ): 动态 测试 引擎 可 与 驻 留 在 Web 服务 器 上 
的 专用 Glass box 代理 程序 交互 ,从 而 使 AppScan 能 够 比 通过 传统 动态 测试 时 识别 更 多 
问题 并 提高 准确 性 。 


312 AppScan 的 基本 工作 流程 


AppScan 的 基本 工作 流程 是 , 先 为 扫描 进行 配置 ,然后 进行 探索 .测试 ,最 后 产生 报 
告 ,如 图 3-1 所 示 。 
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配置 探索 测试 报表 

要 用 来 设置 范围 主要 包括 疏 行 应 用 主要 包括 预测 试 、 主要 包括 结果 审查 、 
与 限制 、 登 录 顺 序 、 程序 、 结 构 映射 、 测试 、 验 证 、 手 工 交互 报告 、 修 复 报 
表单 填充 内 容 、 应 分 析 、 手 动 探索 测试 告 、 打 印 报表 

用 定义 、 扫 描 专家 

图 3-1 工作 流程 
3.2 安装 AppScan 
321 硬件 需求 
运行 AppScan 的 硬件 最 低 需求 如 表 3-1 所 示 。 
表 3-1 硬件 最 低 需求 

E 件 最 低 需 求 
处 理 器 Core 2 Duo 2GHz( 或 同等 处 理 器 ) 

内 存 3GB RAM 
磁盘 空间 30GB 

网 络 一 块 速率 为 100Mb/s 的 网 卡 (具有 已 配置 的 TC/IP 的 网 络 通信 ) 


322 操作 系统 和 软件 需求 
运行 AppScan 所 需要 的 操纵 系统 和 软件 需求 如 表 3-2 所 示 。 
表 3-2 操作 系统 和 软件 需求 
软 件 详细 信息 


支持 的 操作 系统 (32 位 和 64 位 版 本 ): 

* Microsoft Windows Server 2012:Essentials Standard 和 Datacenter 

* Microsoft Windows Server 2012 R2: Essentials, Standard 和 Datacenter 
* Microsoft Windows Server 2008;Standard 和 Enterprise( 4 SP1 # SP2) 


操作 系统 * Microsoft Windows Server 2008 R2:Standard 和 Enterprise( 含 SP1 和 SP2) 
* Microsoft Windows 8. 1:Pro 和 Enterprise 
* Microsoft Windows 8:Standard, Pro 和 Enterprise 
* Microsoft Windows 7 ; Enterprise, Professional 和 Ultimate( 含 或 不 含 SP1) 
浏览 器 Microsoft Internet Explorer 8,9,10,11 


许可 证 密 钥 服务 器 | Rational License Key Server 8. 1. 1,8. 1. 2,8. 1. 3,8. 1.4 
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提示 1: 在 其 他 机 器 上 没有 本 地 许可 证 的 客户 在 使 用 AppScan 时 需要 与 其 许可 服务 
器 进行 网 络 连接 。 

提示 2: 与 AppScan 运行 在 同一 计算 机 上 的 个 人 防火 墙 可 阻止 通信 ,并 导致 结果 不 
正确 或 性 能 降低 。 为 了 获得 最 佳 结 果 , 请 不 要 在 运行 AppScan 的 机 器 上 运行 个 人 防 
火 墙 。 


323 Glass Bx 服务 器 需求 


Glass Box 扫描 功能 需要 在 应 用 程序 服务 器 上 运行 安装 Glass Box 代理 程序 。 

安装 AppScan 后 ,安装 服务 器 代理 程序 所 需 的 文件 会 保存 在 计算 机 的 专用 文件 夹 
中 ,要 执行 此 任务 ,需要 具有 对 此 文件 夹 和 应 用 程序 服务 器 的 访问 权 。 

安装 步骤 如 下 : 

(1) 打开 C:\Program Files (x86) IBMVAppScan Standard\Glass Box。 具 体 路 径 取 
决 于 AppScan 的 安装 位 置 。 

(2) 将 相关 安装 文件 复制 到 Web 服务 器 上 。 

* Linux 服务 器 : 复制 文件 GB_Java_Setup. bin, 

* Windows 服务 器 : 复制 文件 GB. Java Setup. exe. 

(3) 启动 GB_Java_Setup 程序 ,并 遵循 联机 指示 信息 。 在 该 过 程 中 要 完成 以 下 设置 ; 

(D 选择 Web 应 用 程序 服务 器 , 如 果 服 务 器 未 列 出 (JBoss Jl 5 . Tomcat 服务 或 
WebLogic 服务 ) ,请 选择 其 他 。 

Q) 定义 代理 程序 的 用 户 名 和 密码 ,在 AppScan 中 定义 代理 程序 后 ,将 需要 这 些 任 证 
来 支持 它 与 该 代理 程序 之 间 的 通信 ,用 户 名 和 密码 指定 用 英文 字符 和 数字 。 

提示 1: 安装 程序 界面 语言 选项 仅 包 含 操作 系统 支持 的 语言 。 如 果 想 以 其 他 语言 运 
行 该 安装 程序 ,可 通过 命令 行 启动 安装 程序 ,然后 为 所 需 语言 添加 一 个 标志 。 例 如 ,要 在 
英语 操作 系统 上 运行 日 语 的 安装 程序 ,请 运行 命令 GB_Java_Setup. bin -1 ja 为 启动 服务 
器 (Glass Box 代理 程序 处 于 活动 状态 ) 创 建 桌面 快捷 方式 。 要 启用 Glass Box 扫描 ,必须 
使 用 该 桌面 快捷 方式 启动 应 用 程序 服务 器 ,因为 用 这 种 方式 启动 服务 器 的 同时 也 将 激活 
Glass Box 代理 程序 。 

提示 2: 在 服务 器 上 运行 应 用 程序 时 ,用 户 必须 具有 管理 员 权限 。 

提示 3: 应 用 服务 器 上 成 功 安装 了 要 测试 的 应 用 程序 后 ,安装 代理 程序 。 

设置 并 使 用 Glass Box 扫描 的 任务 如 表 3-3 所 示 。 


表 3-3 设置 并 使 用 Glass Box 扫描 的 任务 


任务 (task) Hox 


在 应 用 程序 服务 器 上 安装 AppScan Glass Box 代理 程序 。 

对 于 单个 服务 器 ,该 操作 只 能 执行 一 次 。 

注 : 代理 程序 可 以 安装 到 多 个 服务 器 上 ,但 一 次 Glass Box 扫描 只 能 包含 一 
个 服务 器 


1. 安装 代理 程序 
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续 表 
任务 (task) 描 R 

在 AppScan 中 定义 已 安装 的 代理 程序 ,以 便 它 能 与 这 些 代 理 程序 进行 通信 。 

2、 定 义 代理 程序 对 于 每 台 安 装 了 AppScan 的 计算 机 ,该 操作 只 能 执行 一 次 。 
iE: AppScan 的 多 个 实例 (位 于 不 同 的 计算 机 上 ) 可 以 使 用 同一 个 Glass Box 

Web 服务 器 代理 程序 ,但 不 能 同时 使 用 

配置 扫描 以 使 用 所 需 的 Glass Box 代理 程序 。 默 认 情 况 下 ,这 是 自动 配置 的 ， 
3. 配置 扫描 但 可 以 在 “扫描 配置 ”>Glass Box 中 进行 调整 。 

请 对 每 次 扫描 执行 该 操作 
4. 运行 扫描 在 启用 了 Glass Box 扫描 的 情况 下 扫描 应 用 程序 


5. 更 新 代理 程序 规则 


在 自动 更 新 进程 提示 更 新 服务 器 代理 程序 规则 时 ,请 执行 该 操作 ,以 便 Web 服 
务 器 上 的 规则 版 本 能 够 与 计算 机 中 的 本 地 AppScan 版 本 上 的 规则 保持 同步 。 
注 : 运行 更 新 进程 后 ,必须 重新 启动 Web 应 用 程序 服务 器 


Glass Box Java 平台 支持 的 系统 和 技术 的 相关 详细 信息 如 表 3-4 所 示 。 


表 3-4 Glass box Java 平台 上 支持 的 系统 和 技术 
详细 信息 


操作 系统 


受 支 持 的 Microsoft Windows 系统 (32 位 和 64 位 版 本 ): 
* Microsoft Windows Server 2012 

* Microsoft Windows Server 2012 R2 
* Microsoft Windows Server 2008 

* Microsoft Windows Server 2008 R2 
受 支持 的 Linux 系统 : 

* Linux RHEL 5,6,6.1,6.2,6.3,6.4 
* Linux SLES 10 SP4,11 SP2 

受 支持 的 UNIX 系统 ， 

* UNIX AIX 6.1.7.1 

* UNIX Solaris SPARC) 10,11 


Java EE 容器 


JBoss AS 6, 7; JBoss EAP 6. 1; Tomcat 6. 0, 7. 0; WebLogic 10, 11, 12; 
WebSphere 7. 0,8. 0,8. 5,8. 5.5 


Glass Box ,NET 平台 支持 的 系统 和 技术 的 详细 信息 如 表 3-5 所 示 。 


表 3-5 Glass box .NET 平台 上 支持 的 系统 和 技术 
详细 信息 


支持 的 操作 系统 (32 位 和 64 位 版 本 ) : 
* Microsoft Windows Server 2012 


操作 系统 | * Microsoft Windows Server 2012 R2 


* Microsoft Windows Server 2008 
* Microsoft Windows Server 2008 R2 


Microsoft IIS 7. 0 或 更 高 版 本 。 


其 他 必须 安装 Microsoft . NET Framework 4.0 或 4.5, 并 且 必 须 在 根 级 别 配 置 IIS, 才 能 使 


用 此 版 本 的 ASP. NET 
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Glass Box 的 原理 图 如 图 3-2 所 示 。 


服务 器 
应 用 服务 器 
HTTP 
Web 应 用 
EHE Glass box 代 理 


图 3-2 Glass Box 原理 图 
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为 使 AppScan 能 够 在 扫描 期 间 执行 Adobe Flash 内 容 , 必须 安装 Adobe Flash 
Player for Internet Explorer 的 受 支持 版 本 。 在 某 些 情况 下 ,需要 配置 Flash Player 10. 1 
或 更 高 版 本 才能 使 用 AppScan。 如 果 你 收 到 Flash Player 需要 配置 的 信息 ,那么 请 按照 
以 下 步骤 操作 。 

提示 1: 在 无 任何 配置 的 情况 ,即使 选中 *Flash 执行 ? 复 选 框 ( 扫 描 配 置 ”探索 ” 
选项 ) “Flash 执行 ?也 不 会 运行 。 

提示 2: 此 过 程 需要 “管理 员 " 许 可 权 。 

操作 步骤 如 下 : 

(1) 关闭 AppScan。 

(2) 打开 包含 Flash 安装 文件 的 文件 夹 。 

。 对 于 32 位 系统 ,路 径 通常 为 C:\WINDOWS\System32\Macromed\Flash。 

。 对 于 64 位 系统 ,路 径 通 常 为 C;\WINDOWS\System64\Macromed\Flash。 

(3) 在 Flash 文件 夹 中 ,查找 名 为 mms. cfg 的 文件 。 如 果 没 有 该 文件 ,请 使 用 此 名 称 
创建 一 个 空 TXT 文件 。 

(4) 使 用 文本 编辑 器 (如 Microsoft Notepad) 打开 mms. cfg, 然后 搜索 条 目 
FullFramerateWhenlInvisible, 

。 如 果 该 条 目 存在 ,请 将 其 值 设 为 1 。 

* 如 果 该 条 目 不 存在 ,请 在 文件 中 的 任何 现 有 内 容 后 添加 以 下 内 容 作为 独立 的 

一 行 : 
FullFrameratemhenInvisible=1 
如 图 3-3 所 示 。 
O) 保存 文件 ,现在 已 为 AppScan 成 功 设置 了 Flash Player, 


一 一 一 
44. tditPlus - [CNWindowssysWOW64M 
ete 7 xHm «o NAV SRO xe 
activex.vcl * " 1 

m .UdadaiseTss-n 
国 Flashoex 

3 nie e pese eed 
图 lash9focx b:  RutoUpdateDisable-l 
[8] Flash32 11 8 800 94.ocx 2 SilentAutoUpdateFnable-0 
E) Flashinstalllog i 
癌 fashplayerxpt 
FlashPlayerPlugin 11 8 800 168.exe 
[E] FlashPlayerUpdateService.exe. 
国 FlashUtil32 11,8 800 94 ActiveX.dll 
加 Hashutil32 11 8 800 94 ActiveX.exe 


FlashUtil32 11.8. 800 168 Plugin.exe 
er 


图 NPSWF32, 11, 8.800 168.dll 
O pluginvch 


图 3-3 设置 Flash Player 


325 常规 安装 


安装 向 导 用 于 指导 用 户 快速 简单 地 安装 程序 。 

常规 安装 的 步骤 如 下 : 

(1) 关闭 任何 已 打开 的 Microsoft Office 应 用 程序 。 

提示 : 如 果 已 安装 Microsoft Word 2003 或 更 高 版 本 ,那么 在 安装 期 间 , 会 将 
AppScan Smart 标记 添加 到 它 的 Smart 标记 选项 中 。 创 建 定制 报告 模板 时 ,可 以 将 这 些 
标记 插入 字段 代码 中 。 为 了 进行 该 操作 ,在 安装 期 间 ,必须 关闭 Microsoft Word 和 其 他 
使 用 标记 的 Microsoft Office 程序 (如 Microsoft Outlook) 。 

(2) 运行 AppScan 安装 程序 ,将 启动 InstallShield( 安 装 向 导 ) ,并 检查 你 的 工作 站 是 
否 满足 最 低 安装 需求 。 

(3) 按照 向 导 指 示 信 息 完成 安装 。 

ER: 系统 会 要 求 用 户 安装 或 下 载 GSC (通用 服务 客户 机 )。 如 果 要 扫描 Web 
Service,GSC 是 必要 的 ;而 如 果 不 用 扫描 Web Service,GSC 就 不 是 必要 的 。 


326 静默 安装 
安装 命令 行为 
AppScan Setup.exe /1"LanguageCode" /s /v"/qn INSTALIDIR- \"InstallPath\"™ 


如 果 在 安装 Rational AppScan 的 同时 想 要 安装 GSC( 扫 描 Web Service 所 必需 的 ， 
但 不 是 只 扫描 Web 应 用 程序 ) ,必须 运行 包含 两 个 安装 文件 (. exe) 的 文件 夹 中 的 命 
令 行 。 


有 关 语言 代码 可 以 查看 表 3-6. 
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表 3-6 语言 代码 
$ Wu x 能 $ Uu 功 能 
语言 代码 。 选 项 有 。 1040: 意大利 语 
* 1033: 英语 。1041: Hif 
A * 1028; 中 文 (繁体 ) A * 1042, 韩语 
* 2052: 中 文 (简体 ) 。 2070; 葡萄 牙 语 
* 1036; 法 语 * 1034; 西班牙 语 
* 1031; 德语 
有 关 安 装 参数 可 查看 表 377. 
表 3-7 安装 参数 
Js 激活 静默 方式 (否则 将 启动 常规 安装 ) 。 


iE: 必须 与 /v"/qn" 结 合 使 用 


/v 


设置 其 他 MSI 属性 ,如 UI 模式 和 AppScan 将 安装 到 的 路 径 。 

UI 模式 ; 对 于 静默 安装 ,包含 /qn 作为 参数 (在 两 边 加 双 引号 ) 。 

路 径 : 如 果 未 定义 安装 路 径 , 那 么 安装 将 使 用 默认 路 径 : ..\Program Files IBMVAppScan 
Standard\; 要 定义 其 他 安装 路 径 ,请 添加 INSTALLDIR=\"JInstallPath\" 作 为 参数 (在 两 边 
加 上 双 引 号 ) 。 路 径 可 能 包括 空格 。 

示例 : 


Am"/qn INSTALLDIR- \ "D:\Program Fi les ApgpScan V" 


示例 : 


(1) 


如 果 要 以 静默 方式 将 AppScan 的 英文 版 本 安装 在 默认 目录 中 ,请 输入 


AppScan Setup.exe /s /v"/qn" 


(2) 


如 果 要 以 静默 方式 将 A ppScan 的 日 语 版 本 安装 在 默认 目录 中 ,请 输入 


HgpScan Setup.exe /1"1041" /s /waqn" 


(3) 


如 果 要 以 静默 方式 将 AppScan 的 韩语 版 本 安装 在 D:\Program FilesVAppScanV 


中 ,请 输入 


AppScan Setup.exe /1"1042" /s /v"/qn INSTALLDIR- \"D:\Program Files\AppScan\"" 
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可 证 


AppScan 安装 中 包含 一 个 默认 许可 证 ,此 许可 证 允许 扫描 IBM 公司 定制 设计 的 


AppScan 
己 的 站 点 
会 装 和 信和 


测试 Web 站 点 (demo. testfire. net) ,但 不 允许 扫描 其 他 站 点 。 为 了 扫描 用 户 自 
,用 户 必须 按照 IBM 公司 提供 的 有 效 许可 证 。 在 完成 此 操作 之 前 ,AppScan 将 
保存 扫描 和 扫描 模板 ,但 不 会 对 你 的 站 点 进行 新 的 扫描 。 表 3-8 中 是 样本 扫描 


URL 和 登录 凭证 。 
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表 3-8 ”URL 和 登录 凭证 


URL http://demo. testfire. net/ 
用 户 名 jsmith 
密码 demol234 


1. Rational 许可 证 

从 V7.8 开 始 ,AppScan 许可 证 从 Rational 许可 证 密 钥 中 心 购买 并 且 下 载 。 有 3 种 
类 型 的 许可 证 : 

CD 浮动 许可 证 。 这 些许 可 证 安装 到 IBM Rational License Server (可 与 运行 
AppScan 的 计算 机 相同 ) 。 在 其 上 使 用 AppScan 的 任何 服务 器 均 必须 与 许可 服务 器 的 网 
络 连接 。 用 户 每 次 打开 AppScan 时 ,都 会 检 出 一 个 许可 证 ;而 关闭 AppScan 时 ,会 重新 检 
人 该 许可 证 。 

(2) 令 牌 许可 证 。 这 些许 可 证 安装 到 IBM Rational License Server( 可 与 运行 
AppScan 的 计算 机 相同 ) 。 在 其 上 使 用 AppScan 的 任何 服务 器 均 必 须 与 许可 服务 器 的 网 
络 连 接 。 用 户 每 次 打开 AppScan 时 ,都 会 检 出 所 需 数量 的 令 牌 ;而 关闭 AppScan 时 ,会 重 


新 检 入 这 些 令 牌 。 
(3) 节点 锁定 许可 证 。 这 些许 可 证 安装 到 运行 AppScan 的 计算 机 上 时 ,每 个 许可 证 
被 分 配 到 单个 计算 机 。 


2. 查看 许可 证 状态 

要 查看 许可 证 状态 ,请 执行 以 下 操作 。 

单 击 “ 帮 助 *>“ 许 可 证 ”按钮 ,会 打开 “许可 证 ”对 话 框 ,显示 许可 证 状态 和 选项 ,如 
表 3-9 所 示 。 


表 3-9 许可 证 状态 


如 果 拥 有 IBM Rational 许可 证 (在 用 户 的 计算 机 上 或 其 他 网 络 服务 器 
上 ) ,请 单 击 此 按钮 打开 AppScan License Key Administrator, 可 以 从 这 
装 入 IBM Rational 许可 证 | 里 装 和 信和 管理 许可 证 。 此 外 ,也 可 从 以 下 位 置 打开 该 程序 ; 


-MBMNRationalRIKSVoanmon li cadmin8.exe 
如 果 用 户 的 组 织 具有 AppScan Enterprise 许可 证 (允许 扫描 本 地 


AppScan Standard 许可 证 允许 的 站 点 外 的 其 他 站 点 ) ,那么 除了 现 有 许 
可 证 外 ,还 可 导入 这 些许 可 权 以 在 本 地 计算 机 上 使 用 。 


添加 AppScan Enterprise 许 


"e 注 ; 仅 当 装 入 完整 的 AppScan Standard 许可 证 (而 非 演示 许可 证 ) 之 后 ， 
该 选项 才 可 用 
查看 许可 证 协议 单 击 此 按钮 查 看 许可 证 协议 


提示 1: 可 以 通过 单 击 “ 刷 新 ”按钮 来 更 新 该 对 话 框 中 显示 的 许可 证 信息 。 

提示 2: 如 果 已 验证 浮动 或 令 牌 许可 证 ,但 是 许可 证 服务 器 后 来 变 为 不 可 用 ,那么 
AppScan 可 在 “ 断 开 连 接 方式 ”下 最 多 运行 3 天 ,在 这 段 时 间 内 ,可 以 照常 扫描 应 用 
程序 。 
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3.3 基本 原则 
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AppScan 全 面 扫描 包括 两 个 步骤 : 探索 和 测试 。 尽 管 扫 描 过 程 的 绝 大 部 分 对 于 用 户 
来 说 实际 上 是 无 颖 的 ,并 且 直 到 扫描 完成 几乎 不 需要 用 户 输入 ,但 理解 它 的 原则 仍然 很 有 
帮助 。 

(1) 探索 阶段 : 在 该 阶段 中 ,会 探索 站 点 并 构造 应 用 程序 树 。AppScan 会 分 析 它 所 
发 送 的 每 个 请 求 的 响应 ,查找 潜在 漏洞 的 任何 指示 信息 。AppScan 接收 到 可 能 指示 安全 
漏洞 的 响应 时 ,将 自动 创建 测试 ,并 记录 验证 规则 (这 些 规则 是 确定 哪些 结果 构成 漏洞 以 
及 所 涉及 的 安全 风险 级 别 时 所 需 的 验证 规则 ) 。 

(2) 测试 阶段 : 在 该 阶段 ,AppScan 会 发 送 在 探索 阶段 创建 的 上 千 条 定制 测试 请 求 ， 
它 会 记录 和 分 析 应 用 程序 的 响应 ,以 识别 安全 问题 并 将 其 按 安全 风险 的 级 别 排名 。 

在 实践 中 ,测试 阶段 会 频繁 显示 站 点 内 的 新 链接 和 更 多 潜在 的 安全 风险 。 因 此 , 完 
成 “探索 ”和 “测试 ”的 第 一 个 阶段 后 ,AppScan 将 自动 开始 一 个 新 的 阶段 ,以 处 理 新 的 
信息 。 

扫描 的 基本 原则 如 图 3-4 所 示 。 


/NN (C B (C 
HTTP 请 求 。 n 
a 攻击 特征 库 目 
4 99E 
HTTP 响 应 Web 应 用 
分 析 判 断 是 否 防火 墙 服务 器 。 服务 器 数据 库 
Rational freti ] 
AppScan 中 间 层 数据 层 
Web 应 用 | Web Service 
第 三 方 组 件 
Web 服 务 器 配置 
Web 服 务 器 
数据 库 
应 用 
操作 系统 


网 络 
图 3-4 扫描 的 基本 原则 


332 Web 应 用 程序 与 Web Sevice 
AppScan 可 以 扫描 Web 应 用 程序 和 Web Service, 
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1. Web 应 用 程序 

就 一 般 应 用 程序 (不 包含 Web Service) Mi A.X AppScan 提供 起 始 URL 和 登录 凭证 
可 足以 使 其 能 够 测试 站 点 。 如 有 必要 ,可 以 手动 搜寻 站 点 ,以 使 AppScan 能 够 访问 仅 通 
过 特定 用 户 输 入 才能 到 达 的 区 域 。 

2. Web Service 

如 果 是 Web Service, 那 么 集成 的 通用 服务 客户 机 (GSC) 使 用 服务 的 WSDL 文件 以 
树 格式 显示 可 用 的 单独 方法 ,并 且 会 创建 用 户 友好 的 图 形 用 户 界面 (GUT) 来 服务 发 送 请 
求 。 可 以 使 用 此 界面 输入 参数 和 查看 结果 。 此 过 程 由 AppScan 进行 记录 并 且 用 于 创建 
针对 服务 的 测试 。 
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AppScan 的 主 窗口 如 图 3-5 Bros 。 
菜单 栏 工具 栏 


loo» B PEO. P] 


^ 


Scan Pause ManualExplore Configuration Report Fid Scanlog PowerTools Issues Tasks 
We) Content Based (RERE) Parameters Cookies Pages Failed Requests Fitered User Interaction Needed” 
Un. Method Parameter 

应 用 程序 树 结果 列表 


漏洞 描述 列表 


状态 栏 、 


| 
[Ò Visited Pages: 0/0 [D Tested memts: 0/0 — a XP E fOSeewityIse Q0 Yo do (o p mem Glass] 


图 3-5 主 窗口 


主屏 幕 包含 菜单 栏 .工具 栏 .应 用 程序 树 .结果 列表 、 漏 洞 描述 列表 和 状态 栏 。 

1. 菜单 栏 

AppScan 的 所 有 命令 都 可 以 从 菜单 栏 中 找到 ,有 一 些 常用 的 命令 没有 放 在 工具 栏 
中 ,例如 ,经 常用 到 的 命令 Re-Scan( 重 新 测试 ) 在 工具 栏 中 是 不 会 出 现 的 ,打开 路 径 是 
Scan>Re-Scan; 对 于 某 些 用 户 可 能 经 常用 到 的 Web Service 的 扫描 测试 也 只 能 在 菜单 栏 
中 找到 ,打开 路 径 是 Scan Explore Web Service。 菜 单 栏 如 图 3-6 所 示 。 
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File Edit View Scan Tools Help 


图 3-6 菜单 栏 


2 IRE 

通过 Scan 按钮 ,在 建立 测试 .完成 扫描 配置 以 后 ,可 以 控制 AppScan 的 扫描 阶段 ( 探 
索 测试. 完全 扫描 ) ;通过 Manual Explore 按钮 ,在 需要 对 爬虫 无 法 自动 探索 到 的 页 面 进 
行 测试 的 时 候 , 可 以 启动 AppScan 自 带 的 浏览 器 ,在 人 工 访问 系统 的 方式 中 探索 系统 页 
面 ;通过 Configuration 按钮 ,可 以 对 扫描 的 策略 进行 配置 ;通过 Report 按钮 ,可 以 针对 目 
前 的 扫描 进度 进行 安全 测试 报告 的 生成 ;通过 Scan Log 按钮 ,可 以 实时 了 解 目前 
AppScan 的 安全 测试 用 例 执行 情况 。 图 3-7 为 工具 栏 。 


0.0 ə 四 日 5 上 O. 


Scan Pause  Mamualtxplore Configuration Report | Find Scanlog PowerTools 


图 3-7 工具 栏 


3. 应 用 程序 树 

在 这 个 窗口 中 ,以 Url Based( 基 于 URL) 的 方式 观察 系统 ,可 以 了 解 已 探索 的 Web 
目录 结构 ;以 Content Based( 基 于 内 容 ) 的 方式 观察 系统 ,可 以 了 解 已 探索 的 Web 内 部 细 
节 。 图 3-8 为 应 用 程序 树 。 

4. 结果 列表 

结果 列表 包含 Data( 数 据 ) Issues( 问 题 ) Tasks( 任 务 )3 个 视图 ,数据 视图 显示 测试 
过 程 中 的 各 种 测试 信息 ,包括 了 左边 Web 应 用 结构 窗口 中 所 选 条 目的 请 求 、 参 数 、 页 面 、 
失败 的 请 求 等 信息 ;问题 视图 显示 所 有 目前 已 知 的 安全 漏洞 以 及 这 些 安全 漏洞 存在 的 
URL 5j URL 所 对 应 的 参数 ;任务 视图 显示 对 于 开发 人 员 而 言 的 “修复 任务 ”。 图 3-9 是 
结果 列表 类 型 。 


4 &] htpV/demotestfrenet/ 
因 / 
ii) commentaspx 
国 defaultaspx 
B) disclaimer.htm 
B) feedback aspx 
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图 3-8 应 用 程序 树 图 3-9 结果 列表 类 型 


3-10 是 结果 列表 。 
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URL Method Parameters 

国 http;/jdemo.testfire.ret/ GET 

[E httpy//demo.testfire.net/defaultaspx GET 

国 http;/jdemo.testfire.ret/bank/login.aspx GET 

国 Httpi/jdemo.testfire.ret/defaultaspx?content-personalhtm GET —— contentzpersonal.htm 

[EÀ http;/demo.testfire.ret/defaultaspx?contentzbusiness.htm. GET contentz business.htm. 

国 htp;/jdemo testfire.ret/defaultaspa?content-inside.htm GET — content-insde htm 

[E httpj/jdemo-testfire.ret/searchaspi?txtSearch- 1234. GET — btSearch-1234. 

国 htp;/demo:testfire.net/searchaspx GET 

国 httpi/demo:testfire.ret/defaultaspx?contentzinside contacthtm. GET content-inside contact.htm 
[E Http:/jdemo-testfire.ret/feedback.aspx GET 

[E htp;/jdemo.testfire.net/bank/loginaspx. POST ^ uid-, passw=, btnSubmit-Login 
[E http;//demo.testfire.net/bank/login.aspx POST 

国 htpy/demotestfire net/commentaspx POST ”cfile=commentsbd name= , email addr-753 „. 
[E] Htp/jdemo-testfire.net/comment.aspx POST 

[È httpi/jdemo.testfire.ret/disclaimer.htm?url- htip://vww.netscape.com GET — ur-http;//www.netscape.com 


图 3-10 结果 列表 
5. 状态 栏 
状态 栏 显示 扫描 探索 状态 ,如 图 3-11 所 示 。 
[E Visited Pages: 30/30 — (7) Tested Elements: 77/155 — 49 HITP Requests Sent: 675 


图 3-11 状态 栏 


6 漏洞 描述 窗口 


漏洞 描述 窗口 提供 “测试 情况 ?视图 中 关于 漏洞 的 描述 、 修 改建 议 ,验证 方式 等 信息 ， 
如 图 3-12 所 示 。 


C) Issue — È Advisory| V Fix Recommendation | 4 Request/Response 


图 3-12 漏洞 描述 窗口 


334 工作 流程 


本 节 介 绍 使 用 “扫描 配置 向 导 ” 的 简单 工作 流程 (图 3-130 ,对 新 用 户 或 带 有 额外 配置 
扫描 模板 的 用 户 最 适合 。 更 多 的 高 级 用 户 可 能 更 喜欢 使 用 扫描 配置 对 话 框 来 配置 其 扫 
描 , 手 工 探索 某 些 站 点 (AppScan 某 些 典 型 的 用 户 行为 ) ,然后 启动 扫描 。 

工作 流程 如 下 : 

(1) 选择 一 个 扫描 模板 。 

(2) 打开 配置 向 导 并 选择 Web 应 用 扫描 和 Web Service 扫描 中 的 一 种 。 

(3) 用 向 导 创 建 扫描 : 

(D Jy Web 应 用 扫描 : 

。 填 人 开始 的 URL. 

。 手动 执 行 登录 指南 (推荐 ) 。 

。 检查 测试 策略 (可 选 ) 。 

© X Web Service 扫描: 

。 填 人 WSDL 文件 位 置 。 

。 检查 测试 策略 (可 选 ) 。 
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* 在 AppScan 录制 用 户 输入 和 回复 时 ,用 自动 打开 的 Web Service 探测 器 接口 发 送 
请 求 到 服务 端 。 

(4) 扫描 专家 (可 选 ) ; 

O 打开 扫描 专家 ,检查 用 户 为 应 用 扫描 配置 的 效果 。 

@ 检查 提示 配置 改变 并 选择 适用 的 配置 改变 。 

注意 : 也 可 以 配置 扫描 专家 执行 分 析 , 然 后 在 开始 扫描 时 采用 它 的 一 些 建议 。 

C» 开始 自动 扫描 。 

(6) 检查 结果 (如 果 需 要 ): 

O 为 没有 发 现 的 链接 额外 执行 手工 的 扫描 。 

© 打印 报告 。 

@ 检查 纠正 工作 。 

上 述 流程 如 图 3-13 所 示 。 


为 新 扫描 选择 模板 


选择 应 用 程序 或 Web Service 扫 描 
] 
1 i 
应 用 程序 扫描 配置 向 导 : Web Service 扫 描 配置 向 导 : 
“输入 起 始 URL 。 输 入 WSDL 文 件 的 位 置 


"执行 手动 登录 ，( 可 选 ) 复 审 测试 策略 
“(可 选 ) 复 审 测试 策略 ， 通 过 GSC 发 送 请求 


i ; 
运行 :扫描 专家 ” ue 
i 


复审 建议 的 配置 更 改 ， 启动 自动 扫描 
并 选择 性 地 应 用 这 此 更改 (可 选 ) 让 扫描 专家 
uc 
m a IRIA 
启动 自动 扫描 (可 选 ) 允 许 结果 专家 

i 在 扫描 完成 时 将 问题 信息 
运行 结果 专家 添加 到 结果 


i 
复审 结果 ，( 如 果 需 要 ) 
“手动 探索 其 他 链接 
EHE 
* 复 审 修复 任务 


图 3-13 工作 流程 


335 样本 扫描 


样本 扫描 可 帮助 用 户 感受 AppScan 的 用 法 以 及 扫描 结果 的 内 容 。 

可 在 安装 AppScan 时 将 3 个 样本 扫描 保存 到 计算 机 中 。 可 打开 这 些 扫描 以 查看 如 
何 对 它们 进行 配置 以 及 如 何在 AppScan 中 显示 结果 。 它 们 可 在 AppScan Standard 文件 
夹 中 找到 ,其 默认 位 置 为 C:\Program Files( x86) IBMVA ppScan Standard, 
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3 个 样本 扫描 如 下 : 

(1) demo. testfire. net. scan; 这 是 AppScan 演示 测试 站 点 的 扫描 。 可 以 复审 配置 和 
结果 ,还 可 以 向 站 点 发 送 其 他 请 求 并 使 用 新 数据 继续 扫描 。 

(2) GSC_demo. testfire. scan: 这 是 AppScan 演示 测试 站 点 的 Web Service 扫描 。 
可 以 复审 配置 和 结果 。 如 果 已 经 安装 了 GSC, 那 么 可 将 其 用 于 向 站 点 发 送 其 他 请 求 并 使 
用 新 数据 继续 扫描 。 

(3) Glass Box Sample Scan. scan; 这 是 使 用 Java 应 用 程序 服务 器 的 Glass Box 扫 
描 的 示例 。 可 以 复审 配置 并 向 下 钻 取 到 单个 问题 以 查看 Glass Box 结果 的 内 容 。 

提示 : Glass Box 需要 正在 扫描 的 应 用 程序 的 服务 器 上 代理 程序 的 访问 权 , 由 于 用 户 
没有 用 于 该 代理 程序 的 访问 权 ,因此 无 法 继续 扫描 。 


3.4 扫描 配置 


341 配置 步骤 


配置 步骤 如 下 : 

(1) 启动 AppScan, 从 开始 菜单 选择 IBM security AppScan Standard 菜单 项 。 

(2) 新 建 扫 描 , 从 File 菜单 中 选择 New 命令 。 

(3) 在 弹出 窗口 中 单 击 Create New Scan 链接 ,将 会 弹出 新 建 扫描 窗口 ,在 “预定 义 模 
板 ? 区 域 , 单 击 Regular Scan 链接 (如 果 正 在 使 用 AppScan 扫描 专用 于 定义 模板 的 一 个 测 
试 站 点 ,请 选择 该 Demo. Testfire 模板 或 WebGoat 模板 ) 。 

(4) 选择 Web Application 程序 扫描 并 单 击 " 下 一 步 ” 按 钮 ,然后 进行 3 个 步骤 设置 的 
第 一 步 。 

G) 在 扫描 开始 处 输入 URL( 如 果 需 要 添加 其 他 服务 器 或 域 , 单 击 “ 高 级 ”选项 卡 )。 

(6) 单 击 “下 一 步 "按钮 以 继续 进行 下 一 步骤 。 

(7) 选择 记录 登录 ,然后 单 击 New 按钮 ,这 时 会 描述 记录 登录 过 程 的 信息 。 

(8) 单 击 OK 按钮 ,这 时 会 打开 嵌入 式 浏览 器 ,其 中 的 Record 按钮 已 经 被 按 下 (呈现 
灰色 ) 。 

(9) 在 浏览 器 登录 页 面 记录 有 效 的 登录 序号 ,然后 选择 浏览 器 。 

(10) 在 “会 话 信 息 ” 对 话 框 中 ,复审 登录 序号 并 单 击 “ 确 定 ” 按 钮 。 

AD 单 击 * 下 一 步 ?按钮 以 继续 进行 下 一 步骤 ,在 这 一 步骤 ,可 以 复审 将 用 于 扫描 的 
测试 策略 ( 即 哪 一 类 别 会 用 于 扫描 ) 。 

提示 1: 默认 情况 下 ,会 使 用 除 侵入 式 测试 以 外 的 所 有 测试 。 

提示 2: 高 级 按钮 能 够 控制 其 他 测试 选项 ,其 中 包括 特权 升级 (测试 在 不 具有 充分 访 
问 特权 时 用 户 可 访问 特权 资源 的 程度 ) 和 多 阶段 扫描 。 

(12) 默认 情况 下 会 选择 “会 话 中 检测 ” 复 选 框 ,并 且 会 突出 显示 指示 响应 处 于 “会 话 
中 ”状态 的 文本 。 在 扫描 过 程 中 , AppScan 会 发 送 互 动 信息 请 求 ,检查 此 文本 的 响应 ,以 
验证 其 是 否 依然 处 于 登录 状态 (并 在 需要 时 重新 登录 ) ,验证 突出 显示 的 文本 是 否 确实 能 
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够 证 明 会 话 的 有 效 性 。 
(13) 单 击 “ 下 一 步 ”按钮 。 
(14) 选择 适当 的 单 选 按钮 以 启动 自动 扫描 ,使 用 手动 探索 或 稍 后 启动 (可 以 通过 单 
击 工具 栏 上 的 “启动 ”图 标 来 指定 稍 后 启动 扫描 )。 
(15) (可 选 ) 默认 情况 下 ,会 选择 Scan Expert 复 选 框 ,以 便 在 完成 向 导 后 运行 Scan 
Expert。 可 以 清除 此 选择 ,以 直接 进入 扫描 步骤 。 
(16) 单 击 “ 完 成 ”按钮 退出 该 向 导 。 
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扫描 配置 向 导 中 的 一 个 选项 为 Scan Expert, 可 指导 其 运行 简短 扫描 ,以 评估 特定 站 
点 的 新 配置 的 效率 。 

这 里 需要 注意 的 是 ,如 果 存 在 用 户 输 入 的 AppScan 无 法 执行 的 更 改 ,那么 它们 的 复 
选 框 会 显示 成 灰色 且 为 未 选中 状态 。 如 果 要 修改 这 些 更 改 , 单 击 更 改 的 链接 。 

运行 Scan Expert 时 ,会 在 屏幕 的 顶端 打开 Scan Expert 面板 ,并 且 由 于 Scan Expert 
开始 探索 站 点 ,应 用 程序 树 将 会 出 现在 左边 的 窗 格 中 。 

在 简单 评估 结束 时 ,Scan Expert 会 建议 可 以 接受 或 拒绝 的 配置 更 改 ( 可 以 单独 查看 
各 个 建议 ,也 可 以 选择 自动 应 用 建议 ) 。 

注意 : 部 分 更 改 只 能 由 Scan Expert 手动 进行 应 用 ,因此 ,当选 择 自动 选项 时 ,可 能 不 
会 应 用 部 分 更 改 。 

(1) 要 手动 运行 Scan Expert, 请 通过 “探索 ”阶段 进行 (如 果 尚 未 有 探索 结果 ) ,选择 
“扫描 ”>“ 运 行 Scan Expert 评估 ”。 

(2) 要 在 现 有 探索 阶段 结果 上 手动 运行 Scan Expert, 选 择 “ 扫 描 ”>“ 只 运行 Scan 
Expert", 

(3) 要 将 Scan Expert 配置 为 扫描 开始 前 自动 运行 ,选择 菜单 “工具 ”>“ 选 项 ”>“ 首 
选项 ”命令 ,然后 选择 扫描 开始 前 运行 Scan Expert。 

(D 要 配置 运行 哪个 Scan Expert 模块 ,选择 “配置 ”>Scan Expert. 
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手动 探索 通过 单 击 链接 并 输入 数据 ,使 用 户 能 够 自动 浏览 应 用 程序 。AppScan 会 记 
录用 户 的 操作 ,并 使 用 该 数据 创建 测试 ,有 三 种 可 能 的 原因 会 让 用 户 想 要 进行 手动 探索 ; 

* 为 了 传递 反 自动 化 机 制 (如 要 求 输入 随机 字 以 作为 图 像 显示 ) 。 

* 为 了 探索 特定 的 用 户 进程 (在 某 种 情况 下 用 户 将 访问 的 URL、 文 件 和 参数 ) 。 

* 由 于 在 扫描 过 程 中 发 现 了 交互 式 链接 ,并 且 用 户 想 要 添加 所 需 数据 以 启用 更 加 详 

细 的 扫描 。 

注意 : 创建 手动 探索 后 ,可 能 需要 继续 自动 探索 步骤 ,以 便 扫描 可 以 覆盖 整个 应 用 
程序 。 

步骤 如 下 : 

(1) 选择 “扫描 >“ 手动 探 索 ” 菜 单项 ,这 时 会 打开 嵌入 式 浏览 器 。 
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(2) 浏览 站 点 ,然后 单 击 链接 并 按 要 求 填写 字段 。 

(3) 完成 后 关闭 浏览 器 。 

注意 : 可 以 通过 单 击 “ 暂 停 ”按钮 ,浏览 至 其 他 位 置 ,然后 单 击 “ 记 录 ” 按 钮 来 恢复 记 
录 , 从 而 创建 包含 多 个 过 程 的 手动 探索 。 

这 时 会 显示 已 探索 的 URL 对 话 框 ,其 中 显示 用 户 所 访问 的 URL。 

(4) 单 击 “确定 ”按钮 。 

(5) AppScan 会 检查 用 户 的 所 有 输入 是 否 适合 添加 到 自动 表单 填充 器 ,显示 列表 ,并 
且 询 问 用 户 想 要 添加 全 部 、 无 还 是 选 定 的 参数 。 

如 果 想 要 将 部 分 输入 添加 到 自动 表单 填充 器 , 单 击 添加 选 定 的 输入 ,然后 在 “临时 表 
单 参数 ”列表 中 选择 项 ,并 单 击 移动 (以 将 其 移动 到 “ 现 有 表单 参数 ”列表 ) ,然后 单 击 “ 确 

(6) 单 击 “确定 ”按钮 。AppScan 分 析 已 搜寻 的 URL, 并 基于 该 分 析 来 创建 测试 。 

C) 要 运行 新 测试 ,请 单 击 “ 扫 描 " 按 钮 ,继续 扫描 。 


3.5 扫描 实例 


351 Web Application 自动 扫描 实例 


下 面 是 一 个 Web Application 自动 扫描 实例 ,扫描 网 站 http://demo. testfire. net/ 的 
安全 漏洞 。 

首先 从 “开始 ”菜单 启动 AppScan, 如 图 3-14 所 示 。 

启动 成 功 后 , 单 击 Create New Scan 链接 ,开始 扫描 一 个 新 的 Web 应 用 程序 ,如 
图 3-15 所 示 。 


1BMe Security AppScan Standard 


Q Welcome to Appscan 


Ji Foxmail C) Create New Scan... 
Ji Hanvon Pdf Converter. $ AppScan's Knowledge On-Demand 
Ji Hisuite 
一 一 一 一 一 一 一 jular Scat 
JI IBM Installation Manager. , M Repslor Scan M. Download Extensions 
Ji IBM Rational " La 
Ji IBM Security AppScan Standard 文档 j €) Getting Started (PDF) 
O) Getting Started Guide. 2 


Bi Glass box 2d A) Quick and Light Scan IBM Application Security Insider 


© IBM Security AppScan Standard — 
BJ Uninstall IBM Security AppScan @ Display this ——À 


Ji PowerTools 


图 3-14 启动 AppScan 图 3-15 新 建 扫描 


选择 一 个 符合 要 求 的 扫描 模板 ,模板 包括 已 经 定义 好 的 扫描 配置 ,如 图 3-16 所 示 。 
选择 完成 后 ,会 出 现 配置 向 导 , 选 择 Web Application Scan 单 选 按钮 ,然后 单 击 Next 
按钮 ,如 图 3-17 所 示 。 
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Recent Templates Predefined Templates 
TT 

K) demotestfirend K) Quick and Light Scan 

Quick and Light Scan K) Parameter-Based Navigation 


K) WebSphere Commerce 
K) WebSphere Portal 


F demo:testfirena 


&) Hacme Bank. 
E webGoat vs 


图 3-16 扫描 模板 


Scan Configuration Wizard 


Welcome to the Configuration Wizard 


The Configuration Wizard will help you configure a new scan based on the scu template: Regilar 
Sem 
Select. the type of scan you waat to perfora: 


eb dpplication Scan] 
Ye Service Sem 


Lc EE] Cue 


图 3-17 选择 扫描 类 型 


扫描 配置 向 导 是 该 工具 的 核心 部 分 ,下 面 分 别 介绍 这 个 界面 的 选项 。 

1. URL and Servers(URL 和 服务 器 ) 

(1) Starting URL( 起 始 网 址 ): 此 功能 指定 要 扫描 的 起 始 网 址 。 在 大 多 数 情况 下 ,这 
将 是 该 网 站 的 登录 页 面 。 选 择 http://demo. testfire. net/ 这 个 演示 站 来 测试 Web 应 用 
程序 漏洞 。 如 果 想 限制 只 扫描 到 这 个 目录 下 的 链接 ,选中 该 复 选 框 。 

(2) Case Sensitive Path( 大 小 写 的 选择 ) : 如 果 用 户 的 服务 器 URL 有 大 小 写 的 区 别 ， 
选择 此 项 。 对 大 小 写 的 区 别 取 决 于 服务 器 的 操作 系统 ,Linux/UNIX 中 对 大 小 写 是 敏感 
的 ,而 Windows 不 区 分 大 小 写 。 

(3) Additional Servers and Domains( 另 外 的 服务 器 和 域 ) : 在 扫描 过 程 中 AppScan 
尝试 抓 取 本 网 站 上 的 所 有 链接 。 当 它 发 现 了 一 个 链接 指向 不 同 的 域 时 ,是 不 会 进行 扫描 
攻击 的 ,除非 在 Additional Servers and Domains 中 有 指定 。 因 此 ,通过 指定 该 标签 下 的 
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链接 ,告诉 AppScan 继续 扫描 ,即使 它 和 URL 在 不 同 的 域 中 。 单 击 Next 按钮 继续 ,如 
图 3-18 所 示 。 


San Conigordion Wi 
- (9) 
Tor engle: Http://dee testfire net/ 
[Seu only links in and belo this directory 
©) Case-Sensitive Path 
M Iret all paths as castrseasitive (Unix, Linux, ete.) 
©) Additional Servers and Domains. 
Taelute the fdloring additional servers end domains in this scan: BAE 
| 中 
[O I need te e onal connectivity setting e» ee 
ek | [ loxt > fed] 


图 3-18 URL and Servers 配置 


2. Login Management( 登 录 管 理 ) 
在 扫描 的 过 程 中 ,可 能 会 不 小 心 碰 到 退出 按钮 导致 AppScan 注销 。 因 此 ,要 登录 到 
应 用 程序 中 ,需要 根据 本 条 中 的 设置 使 得 AppScan 可 以 自动 进行 登录 操作 ,如 图 3-19 
所 示 。 


Scan Configuration Wizard 


W Login Method 
Vse the following method to log in to the aplication 


© intentis 
© lone 


Ful Scan Configuration 
O Hep 


Æ 3-19 Login Management 配置 
选择 Record 后 ,会 出 现 一 个 新 的 浏览 器 ,并 尝试 链接 到 指定 的 网 站 作为 本 扫描 的 起 
始 URL, 需 要 输入 账号 和 密码 登录 到 应 用 程序 ,这 样 设置 之 后 可 以 关闭 浏览 器 ,如 图 3-20 
所 示 。 
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AltoroMutual 246 


Online Banking Login 


iji 


图 3-20 登录 页 面 
关闭 浏览 器 后 ,分 析 保 存 登录 数据 ,如 图 3-21 所 示 。 


© Login Method 

Use the Eolloring method to log in to the epplicatien. 

@ Recorded. (accnnended) 

© Pronpt 

© stie Log im to the application using a recorded login 
sequence 

© None 


Analyzing Action-basedlogindata — 
z 
I Å= 


图 3-21 分 析 登 录 数 据 


分 析 完 数据 后 ,可 以 看 到 登录 成 功 的 提示 ,如 图 3-22 所 示 。 

有 时 候 会 发 现 打 开 的 浏览 器 不 是 IE 或 者 Mozilla, 而 是 AppScan 浏览 器 。 可 以 通过 
设置 来 改变 浏览 器 。 

选择 Tools 习 Options 习 Scan Options 菜单 命令 ,选中 Use External Browser 复 选 框 ， 
并 且 选 择 想 用 的 浏览 器 。 如 果 该 网 站 的 行为 在 不 同 的 浏览 器 下 有 所 不 同 ,这 个 设置 将 是 
非常 有 用 的 ,如 图 3-23 所 示 。 


9) Login Method 
Vse the following method to log ia to the application. 


Pec Domi 


© Propt 

© tautic Log in to the applicatiea using a recorded Login 
5 sequence 

D 
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Scan Options [Preferences | Ganaral | Aivanced 
Sean Monitoring 


— 


Ole remest/respense Logging 


Monitor smory consumption end disk peer 
FlIedicuto it sean is inesoplete 


B atenstically gere diring sean 


Interval in minutes: w ü ~ e) 
Cosmmications 
Aye proxy port: [64830 004 ~ 65535) 


Let AppSesn choose the port mtoewtieuly 


SUNS supper 

msy mns n.a mns va 图 ns n.e 
NIE Version 

omo emi 


图 ws Bterml Browser: 


图 3-23 扫描 配置 选择 浏览 器 


3. Test Policy 
根据 测试 目的 不 同 , 需 要 选择 最 适合 的 策略 , 现 有 的 策略 都 是 默认 的 ,其 中 大 多 是 使 
用 现 有 的 策略 。 表 3-10 是 策略 概要 。 
表 3-10 扫描 策略 
项 B 说 0H 
Default 默认 策略 (包含 除 入 侵 性 测试 以 外 的 所 有 测试 ) 
Application-Only 检查 应 用 程序 
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续 表 
项 B dm oH 
Infrastructure-Only 检查 内 部 结构 
Invasive 人 侵 性 检测 
Complete 包含 所 有 的 测试 手段 
the Vital Few 少数 高 漏洞 比率 检查 
Web Service 服务 检查 
Developer Essentials 开发 者 概要 检查 
选择 默认 策略 即 可 。 测 试 策略 如 图 3-24 所 示 。 


URL and Servers. 
Login Management 


Scan Configuration Wizard [m 


ET | set ses les ation nee 


Sr oar [F] Do rot sead session identifiers vhen testing login pages. 
owo 区 za 


O Test Policy Default 
Vse this Test Policy for the scu. 


This poliey includes all texts ercept = | Policy Files 
invasive und port listener tests 


Defaut 


(A Browse.. 
Predefined Policies 
Defaut 
Appliation-Orly 


| ntm only 


4. Complete 


图 3-24 测试 策略 


这 是 开始 扫描 的 最 后 一 步 。IBM Rational AppScan 允许 用 户 选择 想 要 的 扫描 方式 ， 


即 完成 自动 扫描 ,探索 扫 


描 等 。 


(1) Start a full automatic scan( 开 始 一 个 完整 的 自动 扫描 ): 随 着 前 面 创建 的 配置 ， 
AppScan 将 开始 探索 和 测试 阶段 。 


(2) Start with automatic explore only( 开 始 探 索 扫 描 ): AppScan 只 会 探索 应 用 程 


序 ,但 不 发 送 攻 击 。 


(3) Start with manual explore( 开 始 手动 探索 ): 浏览 器 将 被 打开 ,可 以 手动 浏览 器 


应 用 程序 。 


(4) 如 果 还 要 继续 更 改 扫描 配置 ,可 以 选择 最 后 一 个 选项 *T will start scan later", 


在 开始 之 前 , 有 很 


要 的 事情 要 做 , 它 是 AppScan 的 心脏 和 灵魂 一 一 Full scan 


Configuration( 全 局 扫描 配置 ) 窗 口 。 图 3-25 是 选择 扫描 类 型 界面 。 


扫描 开始 的 时 候 ,Ap 


pScan 会 询问 是 否 保存 扫描 结果 ,如 图 3-26 所 示 。 
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Scan Configuration Wizard 


URLand Servers 


anagement 


© Complete Scan Configuration Wizard 


Tou have successfully cospleted the Scan Configuration Wizard. 


ENN, 
© Start with automatic Explore only 
© Start with Hanval Explore 


1 vill start the sean later 


art Scan Expert whea Sem Configuration Wizard is complete 


rom mnm erm 


图 3-25 选择 扫描 类 型 


The scan needs to be saved now because AppScan is set to 'Automatically save 
during scar. 
Would you like to save the scan now? 


Click Yes to save the scan nov 
Click'No to disable "Automatically save during scan for this scan only. 
Click "Disable to disable "Automatically save during scan’ for this and 


future scans. 
al eT 


图 3-26 选择 是 否 保存 扫描 结果 


开始 专家 扫描 ,如 图 3-27 所 示 。 


Scan Expert Analysis... 
w-——————————————————————— 


Analyzing Paraneter-based navigation site detection Analysis WHodule. 


图 3-27 扫描 进度 条 
专家 扫描 结果 如 图 3-28 所 示 。 


$ Scan Expert Recommendations 


Add wwr. testfire.net to Additional Servers list 


[V] Add www. altoromutual. com to Additional Servers list 


|] Add Error Page Definition 


Configure AppScan for Case-Sensitive paths 


Activate "Play Flash Files” to discover URLs and potential vulnerabilities 
C] Use the "GSC (Generic Service Client)" 


C HN in Environmental Settil 


图 3-28 扫描 专家 扫描 出 的 列表 


扫描 专家 检查 用 户 为 应 用 扫描 配置 的 效果 , 它 可 以 根据 用 户 配 置 的 URL. 自动 探索 
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应 用 程序 ,收集 信息 和 网 络 行为 ,并 分 析 结果 ,对 当前 扫描 的 配置 进行 审核 ,给 出 较 合理 的 
配置 建议 。 

第 一 、 二 个 建议 是 将 www. testfire. net 和 www. altormultual. com 加 到 Additional 
Servers List。 打 开路 径 是 Scan Configuration? Explore? URL and Servers Additional 
Servers and Domains, 可 以 按照 提示 去 做 ,如 图 3-29 所 示 。 


©) Additional Servers and Domains 
Include the following additional servers ard domains in this sean: 由 P) [- 
Additional Servers and Domains 
Server/Donain zane: 
err testfire sei 
For eple: deno. testfire net， testfire net, 85 61.137. 11T 
(ame ] Lx) ima | 


图 3-29 添加 Additional Server 


单 击 “确定 ?按钮 添加 Additional Server, 如 图 3-30 所 示 。 


Q0) Additional Servers and Domains 
Include the follwing additional servers ard domains in this scan: * ) 办 - 


wew. tastfire net 


AppScan 


You might need to Re-explore or Re-test in order for some of 
the configuration changes to take effect 


Lm [om] 


图 3-30 确定 添加 Additional Server 


第 三 个 建议 : 启用 这 里 定义 的 错误 页 面 ,如 图 3-31 所 示 。 

第 四 个 建议 ,配置 为 大 小 写 敏 感 路 径 , 选 中 Case-Sensitive Path, 如 图 3-32 所 示 。 打 
开路 径 是 Scan Configuration Explore URL and servers. 

第 五 个 建议 ,激活 播放 Flash 文件 ,原因 是 Flash 对 象 可 能 包含 漏洞 ,Flash 文件 必须 
播放 才能 被 检测 到 ,如 果 用 户 的 产品 中 含有 Flash 对 象 , 最 好 打开 此 选项 ,该 项 默认 是 不 
被 选中 的 。 打 开路 径 是 Scan Configuration 7 Explore Explore Options 一 Flash, 如 
图 3-33 所 示 。 

最 后 一 个 建议 ,设置 完成 的 产品 环境 ,这 样 能 够 更 准确 地 扫描 ,如 图 3-34 所 示 。 
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© Error Pages 


Vse the following list of strings, regular expressions and URLs to identify error pages. 


Apply to Current Results.. 


expression 


Ydue 
41404. TL, 15]Error 


expression 
expression. 
expression 
expression 
expression 
expression 
expression 
expression 
expression 
expression 
expression 
expression 
expression 


9) Starting URL 


Ci)Error. {1, I5)404 
(1)404. (1, IS]Foud 

Ci)Page. {1, 15jaet (1, 15] (found exist) 
CiFile. [1, 15]not. {1, 15] (found exist) 
Cri)Resource. {1, 15jaot (1, 15] (found exist) 
Ci)error. (1, I5] request. 

Qi)request. {1, IS]errer. 

Ci)Usskle to open 

CiUsable to find 

Cio such file 

(hi)problens?\st 9 vere ras) \stencountered 
Ci)Invilid Action 

$ 

Generic Application Error 

Generic Error 


图 3-31 错误 页 面 定义 


Start the scan fron this URL: 


Attp://deno. testfire.net/ 


For exemple: http://deno. test£ire net/ 
E Sean only links in and belor this directory 


©) Additional Servers and Domains 
Include the following additional servers and domains in this scan: 


A 3-32 配置 为 大 小 写 敏感 路 径 


Scan Configuration E 


PLORE 
URL and Servers 
Logn Management 
EnwronmentDefnton 
Exdude Paths and Fles 
|. Explore Options 

Parameters nd Cookies 
Automate Fom F 
Error Pages 
Mult-Step Operations 
Content-Based Results 
Gass Box 

CONNECTION 
Conruricatin andProxy 
HTTP Authentcaton 

TEST 
TestPokcy 
Test Options 
Privlege Escalation 
Malware 

GENERAL 
Scan Epert 
ReaultExpert 
Advanced Configuration 


General 


D Export as Template 
H Load Template 
Ql Revert to Saved 


9) Scan limits 
国 Bedandant Path Linit: S. Max Omber cf times identical paths may be scanned.) 


Click Depth Linit: 20 Mar Omber cf clicks avay fron the starting URL ) 


[otal Page Limit: [500 Wax Gtep scm after this nuber of pagar.) 


9) JavaScript. 
Farse JavaScript code to discover URLs 
B] Egecute JeviScrigt to discover UlLs and dymaic content 


Execute JavScript whea replaying login. 


arse Flagh to discover URLs 
Execute Flash files to discwer WRLs and potential vulnerabilities 


Depth Lisit: [20  ) Max 


Nuber of clicks avay fron the first sereen) 


Click Limit: [500 max 
Sereen Lisit: [200 | mx 
© Explore Method 
@ readth First (Explore all links on one page befcre continuing te the next. Recomended ) 


© Depth First. (Explore each nex lisk as it is fount ) 


O) Encoding: (Auto Detect- x) 
) User-Agent Anto Detect Detected). 3) 


图 3-33 激活 播放 Flash 文件 
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pes i me E 
pem Di ——Guá E) 
pu aaa 
HTTP Authenticston RS = 
ux 
Tatpalgy Type of Jatabass Gf ay) m Defined n 
hen m 8 
manian i - 
Malware. = 
Tarefatr cpmat bi ur Irc — H——!: | 
Sn Expert Ip» ba 
pe Esas 
joco penine mes ea - 
ss | = 
n | T 
[B Export as Tamplate c A Metot: 
uot (—— 
EY ET 


图 3-34 环境 定义 


配置 完成 后 单 击 Apply Recommendations 按钮 ,使 所 有 配置 生效 ,AppScan 将 开始 
按 用 户 的 配置 扫描 ,如 图 3-35 所 示 。 

注意 : 可 以 配置 扫描 专家 执行 分 析 , 然 后 在 开始 扫描 时 使 用 它 的 一 些 建议 ,根据 建议 
进行 合理 的 配置 。 也 可 以 不 理 皮 它 的 建议 ,继续 扫描 ,如 图 3-36 所 示 。 


(ss scan: IBM Security AppS canStan 
File Edit View Scan Tools 


Testing: http://deno, testfire net/survey, questions. aspe. 


国 Visited Pages: TO/TO — (7| Tested Elements: T5/450 — #9 HTTP Requests Sent: 533 


图 3-35 ”扫描 进行 中 图 3-36 继续 扫描 


单 击 Continue Full Scan 菜单 项 继续 扫描 ,如 图 3-37 所 示 。 


王 
图 3-37 扫描 进度 
扫描 过 程 中 可 以 随时 查看 扫描 到 的 问题 , 单 击 右 上 方 。 一 一 一 一 
Issues 按钮 选项 ,会 打开 一 个 窗 格 , 如 图 3-38 所 示 。 e 9 o 
在 这 个 窗 格 中 可 以 实时 地 看 到 发 现 的 问题 列表 ,如 图 3-39 Doo Qe] Tos 
所 示 。 图 3-38 扫描 结果 列表 
这 个 窗 格 主要 显示 应 用 程序 中 存在 的 漏洞 的 详细 信息 , 针 类 型 按钮 


对 每 一 个 漏洞 , 列 出 了 具体 的 参数 ,通过 展开 树 形 结构 可 以 看 


Ve/ vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


Arranged By: Severity Descending 


Â 13 Security Issues (16 variants) for "Hy Application 
> f DOM Based Cross-Site Scripting (2) 

^ (8g Cross-Site Request Forgery (3) 

^ (i Open Redirect (2) 

D ( Database Error Pattern Found (1) 

D (i Email Address Pattern Found (1) 

^ (i) HTML Comments Sensitive Information Disclosure (1) 
> fip HTTP Request Forwarding (Web Proxy) Detected (2) 
^ (ip Possible Server Path Disclosure Pattern Found (1) 


图 3-39 问题 列表 


到 一 个 特定 漏洞 的 具体 情况 , 下面 是 扫描 结束 后 看 到 的 完整 的 问题 列表 ,如 图 3-40 所 示 。 


Content Based 


f My Application (98) Arranged By: Severity Descending 
4 & http//demosestfirenet/ (91) || fly 98 Security Issues 531 variants) for My Application 
| [uw » B Blind SQL Injection (4) 

lil commentaspx. » È Cross-Site Scripting (5) 

li) defaukaspx (2) > (i) DOM Based Cross-Site Scripting (2) 

lil disclaimer m (4) » B Phishing Through URL Redirection (1) 

li) feedbackaspx (1) b (B Poison Null Byte Windows Files Retrieval (1) 


| 
| 
| 
| 
| 
| B rotondas b (B Predictable Login Credentials (1) 
| aerem (3) b WW SQL Injection (12) 
| [li survey-questionsaspe b lig Unencrypted Login Request (2) 
| ^ admin) b Ô Cross-Site Request Forgery (4) 
| b © aspnet client (1) » È Directory Listing (3) 
| rabok 72 b ÈB HTTP Response Splitting (1) 
| P -© images (1) » Č Link Injection (facilitates Cross-Site Request Forgery) (4) 
Bids o b ÈB Open Redirect 2) 
| ^ static) b fp Phishing Through Frames (4) 
4 httpy/wnwaltoromutualcom/ (|. & Session Identifier Not Updated (1) 
Da b È XPath Injection (1) 
| ^ © bank @) » b Autocomplete HTML Attribute Not Disabled for Password Field (1) 
E] ES x (3) || » ie Database Error Pattern Found (13 


» B Direct Access to Administration Pages (3) 

b (i Hidden Directory Detected (4) 

> (ib Microsoft ASP.NET Debugging Enabled (2) 

» (8 Missing HttpOnly Attribute in Session Cookie (1) 

b È Unencypted _VIEWSTATE Parameter (3) 

» (i Unsigned _VIEWSTATE Parameter (3) 

» p Application Error (10) 

» i Application Test Script Detected (3) 

> B Email Address Pattern Found (1) 

» lip HTML Comments Sensitive Information Disclosure (3) 
多 HTTP Request Forwarding (Web Proxy) Detected (2) 
» p Possible Server Path Disclosure Pattern Found (1) 


b Ò testfireappl (1) 


图 3-40 问题 列表 


问题 列表 中 的 严重 性 问题 图 标 解释 如 表 3-11 所 示 。 
表 3-11 问题 图 标 
图 标 表示 Hx 


例 
直接 危害 应 用 程序 、Web 服务 器 或 | 对 服务 器 执行 命令 ,从 取 客 户 信息 ， 
9e 5: | 信息 拒绝 服务 


尽管 数据 库 和 操作 系统 没有 危险 ,但 
未 授权 的 访问 会 威胁 私有 区 域 


` 


脚本 源 代码 泄露 ,强制 浏览 
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国标 | 表示 mox 示 例 
O | 低 严重 性 | 允许 未 授权 的 俩 测 服务 器 路 径 技 震 , 内 部 IP MARRE 
O | 参考 信息 启用 了 不 安全 的 方法 


右 击 某 个 特定 的 漏洞 可 以 改变 漏洞 的 严重 等 级 为 非 脆弱 (Set as Non-vulnerable) ,其 
至 可 以 将 其 删除 ,如 图 3-41 所 示 。 


Ph Through URL Redirection T7 
^O SQ State ^| — Medium 
» p Uner am 

b È Dire) Retest 


» (p Unk | Manual Test Informational 

pope [Delete | Use CVSS to calculate severity 
D OD Phish E se Non worble CVSS Settings. 

» Q5 Auto 


» È Data. Report False Positive. 
"多 Dire — Create Issue Information 


Add Defect to ClearQuest 
b È Mic) Add Defect to Quality Center 


图 3-41 编辑 问题 列表 


(1) Analysis Pane( 分 析 ): 选择 Security Issues 窗 格 中 的 一 个 特定 漏洞 或 者 安全 问 
题 ,会 在 Analysis 窗 格 中 看 到 针对 此 漏洞 或 者 安全 问题 的 4 个 方面 : Issue information 
(问题 信息 )、Advisory( 咨 询 )、Fix Recommendation (修复 建议 )、.Request/Response( 请 
求 /响应 ) 。 
e Issue information( 安 全 问题 信息 ) : 该 选项 卡 下 给 出 了 选 定 的 漏洞 的 详细 信息 , 显 
示 有 具体 的 URL 和 与 之 相关 的 安全 风险 。 通 过 这 个 可 以 让 安全 分 析 师 知道 需要 做 
什么 ,以 及 确认 它 是 一 个 有 效 的 发 现 。 
。 Advisory( 咨 询 ): 在 此 选项 卡 中 可 以 找到 问题 的 技术 说 明 、 受 影响 的 产品 以 及 参 


考 链 接 。 
* Fix Recommendation( 修 复 建议 ): 该 选项 卡 中 会 提 到 解决 一 个 特定 问题 所 需要 
的 步 又 。 


。 Request/ Response( 请 求 /响应 ) : 该 选项 卡 显示 发 送 给 应 用 程序 测试 相关 反应 的 
具体 请 求 的 细节 。 在 一 个 单一 的 测试 过 程 中 ,根据 安全 问题 的 严重 性 会 不 止 发 送 
一 个 请 求 。 例 如 ,检查 SQL 言 注 漏洞 ,首先 AppScan 发 送 一 个 正常 的 请 求 , 并 记 
录 响 应 ;然后 发 送 一 个 SQL 注入 参数 ,再 记录 响应 ,同时 发 送 另 外 一 个 请 求 来 判 
断 条 件 , 根 据 回 显 的 不 同 ,判断 是 否 存在 脆弱 性 漏洞 。 

(2) Show in Browser( 在 浏览 器 显示 ): 让 用 户 在 浏览 器 看 到 相关 请 求 的 反应 ,比如 

在 浏览 器 查看 跨 站 脚本 漏洞 ,实际 上 会 出 现 从 AppScan 发 出 的 弹 窗 信息 。 
(3) Report False Positive( 报 告 误 报 ): 如 果 发 现 误 报 ,可 以 通过 该 选项 卡 发 送 给 


ve/ vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


AppScan 团队 。 
(4) Manual Test( 手 动 测试 ) : 单 击 此 项 之 后 会 打开 一 个 新 的 窗口 ,允许 用 户 修改 并 


(5) Delete Variant( 变 量 删除 ) : 从 结果 中 删除 选中 的 变量 。 

(6) Set as Non-vulnerable( 非 脆弱 性 设置 ) : 选取 的 变量 将 被 视 为 非 脆弱 性 。 

(7) Set as Error Page( 设 置 为 错误 页 面 ): 有 时 应 用 程序 返回 一 个 定制 的 错误 页 面 ， 
通过 此 选项 可 以 设置 错误 页 面 ,避免 AppScan 因为 扫描 响应 为 200 而 误 报 。 

Request/ Response 选项 如 图 3-42 所 示 。 


wí Fix Reconmendation| 9* Request/Response 


目 osra |^ | Show in Browser |Options -| Erterphrase p 
已 53 Rep ort False Positive. 
ek2efyesyb34Suppwnynm; amSession: 心 [Options]. 
/xhtml txml, application/xml;q-0.3, X Delete Variant 
.net/bank/login.aspx Bu Nn ab 
tible; MSIE 8.0; Windows NT 6.1 [Ò Set as Error Page 


er CLA 3.0.30729; Media Center Pd : 
B Add to Issue Information 


图 3-42 Request/ Response 选项 


(8) Tips for Analyzing( 分 析 注 意 事 项 ) : 分 析 扫描 结果 的 同时 ,如 果 发 现 不 是 与 应 
用 程序 有 关 的 问题 ,可 以 选择 右上 角 的 Vulnerability- State Noise 菜单 命令 ,这 个 扫描 
会 完全 从 列表 中 删除 此 扫描 结果 ,如 图 3-43 所 示 。 


b (ig Poison Null Byte Wi 
4 BD SQL Injection (2) 


4 [i http//demo: 
(9 uid 


图 3-43 设置 Noise 


如 果 想 显示 ,可 以 选择 View Show issues Marker as Noise( 显 示 标 记 为 杂 讯 的 问 
题 ) ,将 会 显示 带 有 删除 线 的 灰色 文本 中 的 问题 ,如 


图 3-44 所 示 。 View | Scan Too Heb 
(9) Generating Reports( 生 成 报告 ): 可 以 单 击 $ TN B 
工具 栏 上 的 Report 按钮 ,导出 PDF 类 型 的 扫描 结 > ion t 
果 , 如 图 3-45 所 示 。 ndis i 
报告 是 可 以 根据 需求 进行 定制 的 。 例 如 ,可 以 WekomeSceen Cirl4W 
为 不 同 的 开发 团队 设置 不 同 的 模板 ,比如 针对 公司 [Show Issues Marked as Noise | 


Non-vulnerable Variants 


标志 、 封 面 页 、 报 告 标题 等 进行 不 同 的 定制 ,如 | 面 seniog 
图 3-46 所 示 , 可 以 看 到 所 有 可 选 的 参数 。 Customize Toolbar , 

可 以 根据 不 同 角色 导出 不 同 的 报告 ,如 图 3-47 图 3-44 显示 被 标记 为 Noise 的 问题 
所 示 。 
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Find Scanlog PowerTools 


Teste Report 
" 7 . E 
rn È W B 
Security | Industry Standard Regulatory Compliance Delta Analysis Template Based 
Report Type 
Tenpate: (Custom rens 0 y] 
Nin Seventy: mnd | 
Test Type: (Más 
Sort y Lene Type 
v lisli catin ml 
Wiseript Tu meters 
[Limit mmber of waritnts per issue Weile lemssts 
Har Variis 100 加 montr 
国 Twseipts 
[V] &éd page break after each Issue (FDF) Wiceoki es 
@Filtered Wes 
[od 


图 3-46 导出 PDF 报告 


YasUmelama] | 
— [e ELE 
一 ~ Default BExecutive Summary. 
bern 4 Wisecurity Issues 
r Detailed Report 
Min. Severity: Developer ditional Issue Inforaation 
Site Inventory 4 国 yariants 
arta —À Wikegsest/Respense 
Fini tferences. 
Sort by: @ Issue Type WiAdvisories and Fix Recommendations 
us 4 Éligplication Data 
e plication URLs 
Elscript Parmeters 
[V] Linit number of variants per issue 加 Failed Requests 
Max Variants: 100 cements 
[V] Adà page break after each Issue (PF) 
Briltered WRLs 


图 3-47 选择 导出 模板 


也 可 以 根据 问题 的 严重 程度 导出 报告 ,如 图 3-48 所 示 。 
还 可 以 导出 Word 类 型 的 报告 ,如 图 3-49 所 示 。 
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eyort Type [Lagen] 
Temolate 


C S s, 
as 


TestType: Reli 
En 


Set O Issue Tye 
ow 


[B] Linit mmber o£ variants per issue 


Maz Variants: 10 


[V] Mà page bresk aftar each Issoe (DP) 


Braces wL 


图 3-48 导出 不 同等 级 的 报告 


[Create Report 


| f E! E 
Security P AON is Deha Aralyss | Template Based 


tien Tesis [sample] 
sm Found Qy Iosue Type) [mie] 
Linus rad. By Uca) [sangle] 


图 3-49 导出 Word 类 型 报告 


也 可 以 将 完整 的 扫描 结果 导出 为 XML 文件 或 关系 数据 库 ( 数 据 库 选项 会 将 结果 导 
出 Firebird 数据 库 结构 ,这 是 开放 式 源 代 码 , 且 遵循 ODBC 


和 JDBC 标准 ) 。 k a 2 a 
XML 输出 模式 命名 为 xxx. xsd, 可 在 AppScan\Docs | Resen >| 
. © Explore Ony 
文件 夹 中 找到 ,例如 : | 
C:\Program Files (x86)\IBM\AppScan Standard\ EE E H) 
Docs\ xxx. xsd C Mee 


Test Multi-Step Operations Only 
Re-test issues found 


X Clear All Scan Data 


352 Web Application 手动 探索 实例 


Run Scan Expert Evaluation 
从 菜单 中 选择 Scan Manual Explore 命令 ,如 图 3-50 Run Scan Expert Analysis Only 
所 示 。 [Z] Scan Configuration... F10 


选中 后 ,将 在 内 部 浏览 器 中 启动 待 测 的 应 用 程序 , 任 图 3-50 手动 探索 
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意 操作 想 测 试 的 页 面 ,如 图 3-51 所 示 。 


Geamgg@loo 


Address hapydemotestirenet/ 


Sian In | Contact Us | 


Online Banking with FREE Online Bill Pay 
No stamps, envelopes, cr checks to write give you 
more time to spend on the things you enjoy. 


Business Credit Cards 

You're aays looking for ways to improve your 
Real Estate Financing. company's bottom line, You want to be informed, 
Fast. Simple, Prolessioral, Whether you are preparing improve efficiency and control expenses. Now, you 
te boy, bull, purchase lané, or construct new space, can do it all - with a business credit card account 
let Atoro Mutuals premer rea estate lenders help from Altaro Mutual 


with financng. As a regional leader, ve know the 

market, we understand the business, ard we have Retirement Solutions 

the track record to prove it Rataining good empleyees i a tough task, See how 
Atoro Mutual can assist you in accomplishing this D 
feat through effective Retirement Solutions, 


图 3-51 手动 探索 中 


关闭 浏览 器 ,在 弹出 的 对 话 框 中 将 列 出 所 有 手动 探索 过 的 URL, 如 图 3-52 所 示 。 


The follewing URLs have been explored: 
http:// deno. testfire net/ 
3) 


国 http://t jisu8. ev/ zv/nobile. php 

http://124. 113. 90. 186/stat/stat. do?u=f1an2404$288$288$10$141 

IE] http: //st. enzz. con/z_stat. php?i d-12533056488veb i d-1253305848. 
国 http://demo. test£ire. net/?419b80fas32eTagbfbb5f444bbe 

国 http:/1z3 enzz. con/ stat. hta?id-1253305646hr=http://deno. testir. 
国 http://e enzz. con/core. php?web_i d=12533056464t=z 

]http:// deno. testfire net/ 

i]http:// deno. testfire net/ 

i)http://deno. test£ire. net/default. aspx?content-personal, loans. htr 
Nee testfire. net /default. aspy?content-business deposit.] 
a 


http://demo. testfire.net/default. aspx?content=business. htm ui 
1 | D 


Form Fill Parameters. 
26 new form parameters were detected. Add to automatic form fill? 


9 dl 
© Mà none 
© Md selected parameters.. Select... 


Scan Expert. 
en Scan Expert, to optimize scanning when I close this dialog 


Came ) Coe) Cen ) 


图 3-52 手动 探索 列表 


单 击 OK 按钮 ,将 开始 扫描 探索 URL。 
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353 Web Application 调度 扫描 实例 


首先 从 菜单 中 选择 扫描 调度 程序 。 选 择 Tool>Scan Scheduler 菜单 命令 ,如 图 3-53 
所 示 , 将 弹出 扫描 调度 窗口 ,如 图 3-54 所 示 。 


B] Report. 
Manual Test. 
Run Result Expert 


User-Defined Tests... 


Extensions 
区 PowerTools 


Options... 


Tools | Help 


Glass Box Agent Management... 


图 3-53 ”启动 调度 扫描 


C HN 


Scheduled scans: 


354 ”新 建 调度 扫描 


在 扫描 调度 窗口 中 , 单 击 New 按钮 ,弹出 Schedule Settings 对 话 框 ,如 图 3-55 所 示 。 


Schedule Settings 
© Current Scan 
© Swed Sean 
Recurrence 
Ohily 
rear 
Outny 


Eo heearenee 


E] Linit Scan Tine (in minutes) 


Stop and save after: [4320 


Local Machize Login 


Inter a user nane and password. The process vill run as if 
it were started by that user. 


Mane: Wy first scheduled sem 


| 
! 
Start Date 
12/20 
Start Tine 
22:00 ie 


(1 - 80090) 


图 3-55 扫描 调度 设置 窗口 


输入 调度 扫描 的 名 称 , 然 后 设置 所 需 的 选项 : 
(1) 选择 当前 或 已 保存 的 扫描 (如 果 选择 已 保存 的 扫描 ,那么 需要 浏览 到 相应 的 . scan 文件 )。 
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(2) 选择 每 日 每 周 、 每 月 或 仅 一 次 。 

(3) 选择 扫描 的 日 期 和 时 间 。 

(4) 输入 域名 和 密码 。 

(5) 单 击 OK 按钮 。 

此 时 会 在 扫描 调度 程序 对 话 框 中 显示 调度 名 称 ,如 图 3-56 所 示 。 


Scan Scheduler a 
Scheduled scans: 
Ely first scheduled scan) J 


Scan: phoebe. scan 
Run weekly, starting 12/20 22:00 


Nen... ] ait [Paste 


一 些 一 


图 3-56 扫描 调度 对 话 杠 


354 Qas Box 扫描 实例 


下 面 以 Tomcat 服务 器 为 例 ,来 说 明 如 何 使 用 Glass Box 方式 进行 扫描 。 
首先 ,需要 安装 Glass Box 代理 程序 ,如 果 开 始 安装 之 前 已 准备 好 以 下 信息 ,那么 将 
节约 安装 时 间 。 可 能 需要 咨询 Web 应 用 程序 服务 器 管理 员 来 获取 这 些 信息 。 
。 服务 器 的 操作 系统 的 名 称 (Windows、Linux 或 UNIX), 
* Java EE 应 用 程序 服务 器 的 名 称 (例如 WebSphere, WebLogic 或 Tomcat) 及 其 安 
装 方式 (标准 方式 或 作为 操作 系统 服务 进行 安装 ) 。 
* Java EE 应 用 程序 服务 器 的 Web 应 用 程序 部 署 位 置 (例如 D: Vapache-tomcat- 
6. 0. 32Wwebapps) . 
* Java EE 应 用 程序 服务 器 所 使 用 Java 运行 时 的 位 置 (例如 C:\Program Files 
(x86)\Java\jre6)。 
* Java EE 应 用 程序 服务 器 管理 的 凭证 (用 于 部 署 新 的 Web 应 用 程序 ) 。 
注意 ; 如 果 Web 应 用 程序 服务 器 在 扫描 期 将 以 安全 方式 运行 ,那么 需要 添加 特殊 许 
可 权 。 
如 果 此 服务 器 将 以 安全 方式 运行 ( 即 启用 Java Security Manager) ,那么 必须 向 
GBootStrap Web 应 用 程序 添加 以 下 特殊 许可 权 : 
* 访问 getClassLoader 的 许可 权 (java. lang. RuntimePermission)。 
* 使 用 accessClassInPackage. sun. net. www. protocol. * 的 许可 权 (java. lang. 


RuntimePermission) , 
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。 对 java. io. tmpdir 属性 的 读 许可 权 (java. util. PropertyPermission ) 。 

。 对 所 有 文件 的 读 / 写 许可 权 。 

在 Tomcat 服务 器 上 进行 手动 安装 的 步骤 如 下 : 

CD 在 内 容 扫描 作业 的 Glass Box 页 面 上 ,展开 下 载 Glass Box 代理 程序 安装 程序 
部 分 。 

(2) 将 Manual Setup. zip 的 内 容 解压 缩 到 Web 服务 器 上 用 户 期 望 的 位 置 。 

(3) 为 代理 程序 定义 用 户 名 和 密码 (只 能 使 用 英文 字符 和 数字 ) 。 

。 对 于 Linux 服务 器 ,添加 对 AgentCredentials. sh 的 执行 许可 权 , 然 后 运行 


AgentCredentials.sh < username» < password» 
。 对 于 Windows 服务 器 ,运行 
PgentCredentials.bat < usernane» < password» 


(4) 部 署 GBootStrap Web 应 用 程序 : 
。 登录 Tomcat Manager。 默 认 位 置 为 http:// 雪 服务 器 名 之 :去 端口 号 之 /manager/ 
html, 

* 在 部 署 表 中 查找 要 部 署 的 war 文件 , 单 击 选择 文件 。 

。 找到 GBootStrap. war( 在 已 解压 缩 的 Glass Box 文件 夹 中 ) ,并 单 击 打开 。 

* 单 击 部 署 并 验证 是 否 已 将 GBootStrap 添加 到 应 用 程序 列表 中 。 

然后 关闭 Tomcat, 

通过 执行 以 下 其 中 一 项 操作 将 Tomcat 配置 为 始终 使 用 Glass Box 代理 程序 : 

(1) 通过 环境 变量 : 通过 JAVA_OPTS 环境 变量 (如 果 不 存在 ,请 创建 ) 配 置 Tomcat 
ft) JVM, 2E ft ( g-javaagent: path to gbAgent. jar, 

(2) 通过 batch/sh 脚本 : 通过 编辑 随 Tomcat 一 起 提供 的 配置 脚本 将 参数 传递 到 运 
行 Tomcat 的 JVM: 

对 于 Linux 服务 器 : 

(D 在 Tomcat tkk Gill fT — path to. Tomcat. folder / bin) P14TJF startup. sh. 

© 找到 以 CATALINA_OPTS 开头 的 行 ,并 将 以 下 内 容 添 加 到 该 行 下 面 ， 


export CATALINA OPTS = $ CATALINA OPTS - javaagent:<path to gbagent.jar> 


O 保存 并 关闭 文件 。 

对 于 Windows 服务 器 : 

(D 在 Tomcat 文件 夹 (通常 位 于 和 path_to_JBoss_folder>\bin) 中 打开 startup. bat, 
© 找到 以 set CATALINA_OPTS= 开 头 的 行 并 将 以 下 内 容 添加 到 该 行 下 面 : 


set CATALINA OPTS = $CATALIMA OPTS$- javaagent:<path to _ gbagent.jar> 


@ 保存 并 关闭 文件 。 
要 点 : 确保 CATALINA_OPTS 仅 初 始 化 一 次 , 且 初 始 化 在 上 述 行 之 前 进行 ,这 样 其 
他 CATALINA_OPTS 任务 就 不 会 覆盖 -javaagent。 
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ik. 要 将 参数 添加 到 CATALINA _ OPTS, 请 使 用 % CATALINA _ OPTS%/ 
$CATALINA_OPTS 约定 。 

现在 重新 启动 Tomcat, 启 用 Glass Box 代理 程序 以 进行 安全 扫描 ,在 应 用 程序 服务 
器 上 安装 了 Glass Box 代理 程序 后 ,必须 为 每 个 内 容 扫 描 作 业 定 义 此 代理 程序 。 

步骤 如 下 

CD 在 内 容 扫描 作业 的 Glass Box 页 面 上 ,启用 “探索 ”和 /或 “测试 "阶段 的 Glass Box 
复 选 框 。 

(2) 在 Glass Box 代理 程序 定义 对 话 框 中 根据 需要 填写 字段 和 选项 。 代 理 程序 定义 
如 图 3-57 所 示 。 


RExaaple: http://hostnane:port/GBootStrap/ 


User Nane: jsmith 
Password: eee eet 


35 ”代理 程序 定义 


代理 程序 定义 说 明 如 表 3-12 所 示 。 
表 3-12 ”代理 程序 定义 说 明 


选 m Hx 
输入 服务 器 代理 程序 的 完整 URL。 
Glass Box 代理 程序 URL 示例 :http://hostname:port/GBootStrap 
用 户 名 和 密码 输入 在 服务 器 上 安装 代理 程序 时 定义 的 用 户 名 和 密码 


(3) 单 击 连接 到 代理 程序 以 测试 连接 。 连 接 成 功 后 ,可 修改 代理 程序 定义 或 设置 代 
理 程序 日 志 设置 ,如 表 3-13 所 示 。 
表 3-13 日 志 设 置 说 明 


选 项 描述 
失败 迭代 的 日 志 行 (可 选 ) 使 用 滑 块 限制 日 志 的 大 小 
(可 选 ) 选 择 要 在 日 志 中 包含 的 信息 的 级 别 ， 
错误 : 仅 包含 错误 消息 ; 
日 志 内 容 警告 : 包含 错误 和 警告 消息 ; 
参考 : 包含 错误 ,警告 和 参考 消息 ; 
调试 : 包含 所 有 消息 


(4) 完成 配置 后 , 单 击 “ 保 存 ” 按 钮 。 

代理 程序 的 用 户 名 和 密码 分 别 为 安装 Glass Box 时 设 定 的 用 户 名 和 密码 ,如 需要 修 
改 密码 ,可 运行 AgentCredentials. bat < username > < password > , sk H He 6 vcf F 
GBootStrap WEB-INF 目录 下 的 users. xml 文件 ,重启 Tomcat 后 生效 。 用 户 可 添加 多 
个 Glass Box 代理 程序 ,但 AppScan 同一 时 间 只 能 使 用 其 中 的 一 个 。 添 加 代理 程序 成 功 
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后 ,可 对 Glass Box 进行 设置 ,选中 “在 探索 阶段 使 用 Glass Box”, 可 发 现 更 多 隐藏 的 
URL; 选 中 “在 测试 阶段 使 用 Glass Box”, 可 发 现 更 多 的 漏洞 和 提供 更 详细 的 漏洞 信息 。 
配置 成 功 后 ,AppScan 右 下 角 状 态 栏 将 显示 “Glass Box 扫描 : 已 启用 ”。 

Glass Box 配置 成 功 后 ,需要 对 Web 应 用 程序 重新 扫描 。 需 要 注意 的 是 ,由 于 Glass 
Box 对 URL 的 解析 问题 ,扫描 本 地 网 站 需要 配置 虚拟 域名 , 即 起 始 URL 不 能 是 http:// 
localhost/myproject, 而 应 该 是 http://mysite/myproject。Glass Box 目前 仅 支 持 Java 项 
目 。 本 书 所 选用 扫描 网 站 是 IBM AppScan 开发 人 员 提 供 的 Altoro] 项 目 。 通 过 对 配置 
Glass Box 前 后 的 扫描 结果 进行 分 析 , 可 以 看 出 使 用 Glass Box 的 3 个 优势 。 为 方便 起 
见 , 本 书 采用 默认 的 扫描 配置 (新 建 一 个 常规 扫描 ,采用 默认 的 扫描 策略 ,对 扫描 配置 的 各 
项 参数 不 做 任何 修改 ) ,并 且 没 有 对 结果 进行 分 析 , 排 除 误 报 的 漏洞 。 每 次 扫描 的 结果 可 
能 会 略 有 不 同 。 若 差别 太 大 , 则 应 该 检查 扫描 配置 信息 ,查看 日 志 , 找 出 问题 所 在 。 

(1) 在 探索 阶段 通过 检测 出 代码 中 不 可 见 的 参数 和 Cookie 信息 ,探索 隐藏 的 扫描 路 
径 , 提 高 扫描 覆盖 率 。 

在 应 用 程序 中 ,有 一 些 参数 并 未 暴露 给 用 户 , 即 对 用 户 是 不 可 见 的 ,传统 的 AppScan 
运行 在 客户 端 ,不 能 检测 到 这 些 参 数 , 更 无 法 探索 到 相关 的 页 面 。Glass Box 运行 于 探索 
阶段 全 过 程 ,预定 义 一 些 “ 感 兴趣 ”的 方法 (如 getParameter、Runtime. getRuntime(). exec 
等 ) ,并 时 刻 检测 这 些 方法 是 否 在 运行 ,进而 探索 出 其 中 的 参数 ,再 根据 这 个 参数 构造 扫描 
路 径 。 

(2) 在 测试 阶段 ,Glass Box 可 增强 AppScan 在 各 种 漏洞 类 型 方面 的 检测 。Glass 
Box 通过 搜集 服务 端 信息 ,可 减少 误 报 率 , 增 强 AppScan 对 各 种 漏洞 类 型 的 检测 ,主要 能 
够 增强 AppScan 对 注入 攻击 ,不 安全 的 直接 对 象 引 用 、 安 全 配置 错误 和 不 安全 的 加 密 存 
储 等 漏洞 的 检测 。 通 过 扫描 AltoroJ 项 目 可 以 发 现 ,配置 Glass Box 前 , 共 扫描 出 100 个 
漏洞 ;而 配置 Glass Box 后 , 共 扫描 出 139 个 漏洞 ;Glass Box 增加 了 大 约 40% 的 漏洞 扫描 
发 现 数量 。 表 3-14 是 按照 OWASP Top 10 漏洞 分 类 方法 ,对 使 用 Glass Box 前 后 的 扫描 


漏洞 数量 进行 的 对 比 。 
表 3-14 使 用 Glass Box 前 后 发 现 的 漏洞 数量 对 比 
漏洞 类 型 未 使 用 Glass Box 发 现 的 漏洞 数 | 使 用 Glass Box 发 现 的 漏洞 数 
注入 攻击 (Al) 20 38 
跨 站 点 脚本 攻击 (XSS)(A2) 39 39 
失效 的 身份 认证 和 会 话 管理 (A3) 62 62 
不 安全 的 直接 对 象 引用 (A4) 8 8 
跨 站 点 的 请 求 伪造 (CSRF)(A5) 62 62 
安全 配置 错误 (A6) 11 12 
不 安全 的 加 密 存 储 (A7) 13 14 
不 限制 URL 访问 (A8) 17 18 
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续 表 
漏洞 类 型 未 使 用 Glass Box 发 现 的 漏洞 数 | 使 用 Glass Box 发 现 的 漏洞 数 
传输 层 保护 不 足 (A9) 6 6 
未 经 验证 的 重 定向 和 转发 (A10) = = 


黑 盒 测 试 技术 由 于 无 法 获取 应 用 程序 的 内 部 信息 ,导致 扫描 覆盖 率 偏 低 , 且 无 法 提供 
详细 的 调试 信息 ;而 白 盒 测试 技术 的 代价 过 于 高 昂 , 需 要 大 量 的 人 工 成 本 , 且 误 报 率 较 高 。 
而 Glass Box 是 有 别 于 传统 黑 盒 测 试 和 白 盒 测试 的 一 种 混合 测试 技术 ,将 有 效 解 决 这 一 
难题 ,为 客户 创造 更 好 的 价值 。 

355 Web Sevice 扫 描 实 例 


(1) 选择 Regular Scan( 常 规 扫描 ) 模 板 , 新 建 扫描 ,如 图 3-58 所 示 。 


Launch Sean Configuration Vizard 


dep 


图 3-58 新 建 常规 扫描 


(2) 设置 扫描 类 型 为 Web Service 扫描 ,如 图 3-59 所 示 。 


Welcome to the Configuration Wizard 


The Configuration Wizard will help you configure a nev scan based on the scan template: Regular 
Scan 


Select the type of scan you want to perfora: 
© Web Application Sean 


A 3-59 设置 扫描 类 型 


(3) 如 图 3-60 所 示 , 输 入 WSDL 的 访问 地 址 : 
http://daw.testfire.net/transfer/transfer.asıx?wsdl 


(4) 选择 Web Services 测试 策略 ,如 图 3-61 所 示 。 
(5) 单 击 Next 按钮 ,AppScan 将 自动 启动 通用 服务 客户 机 (GSC) ,如 图 3-62 Bros 
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©) wspLURL 

The WSIL file for the service is located here: 

ttp: //deno. testfire net/transfer/transfer. asmx?rsdll 

For exemple: http: //deno. tastfire net/transfer/transfer. asax?wsdl 


El Sean only links in and below this directory 
O) Case-Sensitive Path 
[V]Trest all paths as case-sensitive (Unix, Linux, etc.) 


O) Additional Servers and Domains. 
Include the following additional servers end domains in this scan: 


3-60 设置 WSDL URL 


Je 


4) Test Poly WebServices - 
Vse this Test Policy for the sean 


This policy includes all SO related = [Policy Files 
tests that are non-invasive. 


Recent Policies 
Web Services 
&) Complete 

Ë oeat 

È Browse... 
Predefined Policies 
Ë oefaut 


Ë) Application-Ony 


[V] Senà tests on login and logout pages 


[V] Do not send session identifiers when testing login pages. 


图 3-61 设置 Web Services 测试 策略 


0) Complete Scan Configuration Wizard. 


You have successfully completed the Scan Configuration Wizard. 


AppScun will now launch Generic Service Client (GSC). 


1) Use GSC to send some requests to the service 
2) Close GSC. 
3) Click Scan > Test Only. 


图 3-62 完成 扫描 配置 向 导 


(6) GSC 启动 后 ,会 自动 根据 提供 的 WSDL 地 址 导入 WSDL 文件 ,需要 稍 等 片刻 。 
(7) 导入 WSDL 后 ,可 以 在 左 侧 看 到 Web 服务 所 提供 的 所 有 操作 及 对 应 的 SOAP 


请 求 ,如 图 3-63 所 示 。 


(8) 这 里 选择 TransferBalance 操作 , 单 击 其 ServiceSoap , 右 侧 将 出 现 请 求 SOAP 消 
息 的 表单 ,选择 transDetails, 然后 输入 transferDate, debitAccount, creditAccount 及 


transferAmount 等 参数 ,如 图 3-64 所 示 ,然后 单 击 “ 调 用 ?按钮 。 


(9) 等 待 并 查看 Web Service 响应 ,如 图 3-65 所 示 。 
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[l Generic Senice Client £ 


v Request LESEI 


pus [rete] t TT 
4 WSDL ] 
o slieroeatienatns | Perro inermes Transport me simon 
> 93 htpynwwatoronutnald || [Sem] s Treo B sourco | S] B decis Mtem 
4 91 Htgi/umaltoromutualc 
d IsValduser Emvelope x 
È catUcerkecoun 9 tofy 
d TransferBalance 
AL 3 evebdusor 
FlUseid 


E 3-63 GSC 完成 WSDL 导入 


Message | Attachments Transport| Request Stack| 
(m) Tree D Source | Y Y| 4 D A P Fiter B Schema 
| 


Envelope E 
$ Body 
© TransferBalance 
国 transDetails 
transferDate 20 申 -01-01T0000.00 
Widebitàccout — ^ = 


WicedüAccout ^ per 


transferAmount 610 


图 3-64 编辑 SOAP 请 求 数据 


Message Attachments | Response Properties | 
[Eifem) 5 Tree D source | Y Y| + B A 


是 Fault 


fauhcode soap:Server 


faultstring P Server was unable to process request. ---> Object reference not set to an instance ^ 
Dfaultactor 
$ detail 


图 3-65 ”查看 Web Service 响应 
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(10) 关闭 GSC. AppScan 会 自动 导入 GSC 探索 到 的 URL, 可 以 在 数据 视图 中 查看 
该 URL 的 请 求 及 响应 ,如 图 3-66 所 示 。 


Bo 9$ E DPE O. 


anual Explore Configuration Report | Fnd Scanlog ”pcwerTock 


[Ul Based Based Ee) Parameters Cookies Pages Faled Requests Fitered User interaction Needed Comments JavaScripts 
3) My Application URL Method Parameters 
CN eveniet C htpy/demo tertre not ander ranura POST — [SON] tneitrarclerDate-2019-01-00100000.. 
I 
PD valer 


图 3-66 查看 GSC 探索 结果 


(11) 选择 “扫描 ”一 “ 仅 测试 ”菜单 项 , AppScan 即 自动 对 当前 Web Service 的 
TransferBalance 操作 进行 自动 化 渗透 测试 。 结 果 如 图 3-67 所 示 。 


mr] Content Based 


Arranged By: Severity Descending 
Ê 6 Security Issues (24 variants) for “Ny Application 
» (ig) Blind SQL Injection (1) 

» @ SQL Injection (1) 

» È Database Error Pattern Found (1) 

» (ip Application Error (2) 

» (ip Possible Server Path Disclosure Pattern Found (1) 


4 &] htpy/demotestfrenet (6) 
固 / 
b C) transfer (6) 


图 3-67 查看 Web Service 测试 结果 


iE. 

CD 以 上 案例 仅 测 试 了 Web Service 中 的 一 个 操作 ,实际 测试 中 应 对 所 有 的 操作 都 进 
行 测试 。 

(2) 在 以 上 案例 中 发 现 了 SQL 注入 漏洞 等 常见 Web 应 用 漏洞 ,佐证 了 Web Service 
可 能 存在 常见 的 Web 应 用 安全 漏洞 ; 

(3) 案例 中 使 用 了 默认 的 Web Services 测试 策略 ,该 策略 不 包括 XML 解析 相关 的 
拒绝 服务 测试 变 体 ,实际 测试 中 应 结合 项 目 实际 要 求 定制 自己 的 测试 策略 。 


3.6 扫描 报告 


安全 报告 提供 关于 所 发 现 的 安全 性 问题 的 信息 ,可 以 创建 涵盖 整个 扫描 的 安全 报告 ， 
或 者 为 应 用 程序 树 中 特定 的 URL 或 文件 夹 创建 安全 报告 。 

安全 报告 有 各 种 不 同 的 模板 ,每 个 模板 都 是 一 组 或 相关 的 内 容 主 题 ,主题 包 含 来 自 每 
个 视图 (安全 问题 .修复 任务 ,应 用 程序 数据 ) 的 扫描 结果 ,其 格式 便于 打印 ,可 读 性 高 ,有 
助 于 快速 理解 这 些 结果 所 代表 的 含义 .相关 的 原因 以 及 修订 方法 。 安 全 性 报告 选择 对 话 
框 如 图 3-68 所 示 。 

该 对 话 框 中 的 各 个 选项 如 表 3-15 所 示 。 
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图 3-68 ”安全 性 报告 选择 对 话 框 


表 3-15 安全 性 报告 对 话 框 选项 
LEE: 


模板 


通过 选中 /清空 右边 窗 格 中 的 复 选 框 来 选择 报告 的 若干 模板 之 一 或 定义 

自己 的 报告 模板 ,如 下 所 述 。 

。 管理 摘要 报告 : 高 级 别 的 摘要 报告 ,突出 显示 在 Web 应 用 程序 中 找到 
的 安全 风险 以 及 扫描 结果 统计 信息 ,其 格式 为 表 和 图 表 。 

。 详细: 详尽 的 报告 ,其 中 不 仅 包括 管理 综合 报告 ,还 包括 安全 性 问题 、 
咨询 信息 和 修订 建议 以 及 修复 任务 和 应 用 程序 数据 。 

。 修 复 任务 : 为 处 理 扫描 中 所 发 现 的 问题 而 设计 的 操作 。 

* 开发 者 : 安全 问题 \ 变 体 ,咨询 信息 和 修订 建议 ,不 需要 “管理 摘要 报 
告 "或 “修复 任务 ”部 分 。 

* QA: 安全 问题 咨询 信息 和 修订 建议 ,应 用 程序 数据 ,不 需要 详细 变 体 
信息 “管理 摘要 报告 "或 “修复 任务 ”部 分 。 

。 站 点 目录 : 仅 包括 应 用 程序 数据 


最 低 严重 性 


为 要 包含 在 报告 中 的 问题 选择 最 低级 别 的 严重 性 


测试 类 型 


选择 要 在 报告 中 包含 的 测试 结果 类 型 : 全 部 ,应 用 程序 .基础 结构 或 第 三 
方 Web 组 件 测试 


排序 依据 


选择 是 按 类 型 还 是 按 URL 来 对 问题 进行 排序 


限制 每 个 问题 的 变 体 数 


可 以 通过 限制 每 个 问题 所 列 出 的 变 体 数 量 来 缩短 报告 的 长 度 ,前 提 是 此 
级 别 的 详细 程度 对 于 报告 的 接收 方 不 大 可 能 有 用 


在 每 个 问题 后 添加 分 页 符 


此 设置 仅 适用 于 PDF 输出 。 这 可 使 报告 更 清楚 ,以 便于 阅读 


完成 后 查看 


如 果 选 中 此 复 选 框 ,那么 在 生成 报告 后 ,会 在 适当 的 查看 器 中 将 其 打开 。 
这 仅 在 安装 了 可 打开 所 生成 报告 的 程序 的 情况 下 才 会 有 效 


选 定 任何 模板 作为 基础 后 ,可 以 通过 选择 /取消 选择 要 包含 的 信息 的 字段 来 定制 个 别 
报告 的 结构 。 如 果 执 行 此 操作 ,那么 模板 名 称 会 更 改 为 Custom Template( 定 制 模板 ), 如 


图 3-69 所 示 。 


K 3-16 概括 了 各 种 安全 性 报告 的 标准 内 容 ,在 所 有 情况 下 ,都 可 以 根据 需要 ,通过 选 
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Report Type (layout 
Template: Custom Teaplate m|| 4 WiReport Content 
国 zxecutive Summary 
4 Security Issues 
Min. See 国 Aiaitional Issue Tafermti 
a Yiants 
Test Tipe 有 Sd lhegoes Uhesponse 
lDifferences 
Sort by: @ Issue Type 国 Aavisories and Fix Recommendai 
ew. 4 WiAplication Ms 
HsScript Parameters 
[V] Linit number of variants per issue 加 Failed Requests 
Vac Variants 1 Econents 
加 JaviSeripts 
Add page bresk after each Issue (PDF) 国 cooaes 
国 Filtered URLs 


图 3-69 定制 模板 


中 /清空 各 个 复 选 框 来 更 改 实际 导出 的 内 容 。 完 整 的 详细 报告 可 能 长 达 数 百 页 ,因此 要 确 
保 仅 包含 与 相关 任务 有 关 的 部 分 。 


表 3-16 报告 标准 内 容 


报告 部 分 dox 


提供 关于 扫描 的 一 些 常规 信息 的 简短 部 分 ,其 中 包括 诸如 所 发 现 问题 (高 ,中 、 低 和 参 
考 ) 的 总 数 以 及 登录 设置 之 类 的 详细 信息 。 此 部 分 包含 在 所 有 报告 中 


包含 在 报告 中 的 一 系列 表格 ,这 些 表格 概括 关于 扫描 或 者 扫描 的 一 部 分 的 以 下 信息 ， 
。 问题 类 型 (包括 所 发 现 每 种 类 型 问题 的 数量 及 其 严重 性 ) 

。 易 受 攻击 的 URL( 包 括 每 个 URL 的 问题 数量 和 类 型 ) 

管理 综合 报告 | 。 修订 建议 

。 安全 性 风险 

* 原因 

* WASC 威胁 分 类 


在 应 用 程序 中 发 现 的 以 下 问题 : 
基本 : 如 果 以 下 两 个 复 选 框 都 未 选中 ,那么 仅 包含 基本 信息 
其 他 : 包含 更 详细 的 信息 (包括 屏幕 快照 ) ,类 似 于 “问题 信息 ”选项 卡 内 容 


安全 问题 变 体 : 包含 特定 变 体 信息 
- 请 求 /响应 
- 差异 : 原始 请 求 与 测试 请 求 之 间 的 差异 ,如 “详细 信息 ” 窗 格 的 “请 求 /响应 ”选项 
卡 中 所 示 
咨询 信息 和 修 所 发 现 问题 的 技术 说 明和 修订 建议 。 
订 建议 ik; 要 包含 特定 于 . NET Java EE 和 PHP 环境 的 修订 建议 ,请 选择 菜单 “工具 ”->“ 选 


项 ”>“ 首 选项 "命令 ,然后 选择 所 需 选 项 
修复 任务 基于 所 发 现 的 问题 而 建议 的 用 于 提高 站 点 安全 性 的 任务 。 一 个 任务 可 能 解决 多 个 问题 


AppScan 已 在 Web 应 用 程序 中 发 现 的 数据 的 列表 : 应 用 程序 URL ,脚本 参数 中断 
HEt EF JavaScript, Cookie 和 已 过 滤 的 URL 


应 用 程序 数据 


另外 ,还 可 以 单 击 Layout( 布 局 ) 按 钮 定制 报告 外 观 ( 因 为 使 用 默认 布局 即 可 生成 报 
告 ,所 以 该 功能 为 可 选 )。 图 3-70 为 配置 报告 布局 的 界面 。 
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图 3-70 配置 报告 布局 界面 


表 3-17 是 对 报告 布局 选项 的 介绍 。 
表 3-17 报告 布局 选项 


布局 选项 描述 

包含 封面 将 封面 添加 到 报告 中 。 如 果 选 择 该 选项 ,会 启用 封面 选项 

公司 徽标 将 公司 微 标 放 在 页 面 的 左上 方 ( 单 击 “公司 微 标 "区 域 中 的 加 号 图 标 ,然后 浏览 查找 
计算 机 上 的 微 标 文件 )。AppScan 徽标 是 默认 徽标 

其 他 徽标 将 其 他 徽标 放 在 封面 的 右上 方 ( 单 击 * 其 他 徽标 ”区域 中 的 加 号 图 标 ,然后 浏览 查找 
计算 机 上 的 徽标 文件 ) 

报告 类 型 在 封面 下 半 部 分 包含 “报告 类 型 "(可 编辑 文本 ) 

报告 标题 将 默认 标题 或 输入 的 标题 作为 主 标题 包含 在 封面 的 中 央 位 置 

描述 将 默认 描述 或 输入 的 描述 作为 描述 放 在 封面 上 

报告 日 期 在 报告 的 每 个 内 页 面 的 页 脚 都 包含 日 其 

页 眉 /页 脚 向 每 个 内 页 面 中 添加 页 眉 和 /或 页 脚 ,输入 想 要 显示 的 文本 

目录 在 报告 中 包含 目录 

另存 为 默认 布局 | 保存 布局 设置 和 文本 以 供 将 来 使 用 


具体 导出 报告 的 步骤 如 下 。 

CD 选择 报告 要 基于 扫描 的 内 容 , 如果 要 为 整个 扫描 创建 报告 , 单 击 工具 栏 上 的 
Report 图 标 按钮 ,在 弹出 的 创建 报告 窗口 中 选择 Security。 

(2) 通过 选择 /清空 右边 的 复 选 框 来 选择 相关 模板 或 定义 需要 的 报告 内 容 。 

(3) 选择 所 需 选 项 。 

(4) 如 果 要 定制 报告 的 布局 , 单 击 Layout 选项 卡 ,进行 布局 配置 。 

G) 选择 所 需 的 输入 格式 : PDF .HTML TXT 、RTF X XML, 
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(6) 单 击 Save 按钮 即 可 生成 报告 。 
3.7 本 章 小 结 


AppScan 是 对 Web 应 用 和 Web Service 进行 自动 化 安全 扫描 的 黑 盒 工具 , 它 不 但 可 
以 简化 企业 发 现 和 修复 Web 应 用 安全 隐患 的 过 程 , 还 可 以 根据 发 现 的 安全 隐患 ,提出 针 
对 性 的 修复 建议 ,并 能 形成 多 种 符合 法 规 行业 标准 的 报告 ,方便 相关 人 员 全 面 了 解 企业 
应 用 的 安全 状况 。 

AppScan 拥有 一 个 庞大 完整 的 攻击 规则 库 , 也 称 为 特征 库 ,通过 在 HTTP 请 求 中 插 
入 测试 用 例 的 方法 实现 几 百 种 应 用 攻击 ,再 通过 分 析 HTTP. 响应 判断 该 应 用 是 否 存 在 相 
应 的 漏洞 。 特 征 库 是 可 以 随时 添加 的 。 它 的 扫描 分 为 两 个 阶段 : 

CD 探索 阶段 。 探 索 站 点 下 有 多 少 个 Web 页 面 ,并 列 出 来 。 

(2) 测试 阶段 。 针 对 探索 到 的 页 面 ,应 用 特征 库 实 施 扫 描 。 扫 描 完 毕 ,会 给 出 一 个 漏 
洞 的 详细 报告 。 

用 户 可 以 通过 AppScan 进行 一 系列 高 级 配置 ,制定 所 要 检测 的 Web 模型 , 即 哪些 需 
要 扫描 、 哪 些 不 需要 ,扫描 的 方式 等 等 ;也 可 以 定义 需要 扫描 的 漏洞 列表 ,从 而 有 和 针对 性 地 
检查 网 站 有 无 用 户 所 关心 的 安全 漏洞 。 在 检测 出 安全 漏洞 之 后 ,AppScan 又 提供 了 全 面 
的 解决 方案 帮助 用 户 快速 解决 这 些 问题 ,最 大 限度 地 保证 Web 应 用 的 安全 。 

在 整个 软件 开发 生命 周期 中 的 各 个 阶段 ,Rational AppScan 都 可 以 被 使 用 。 

开发 人 员 在 开发 过 程 中 可 以 使 用 AppScan 或 者 专用 插件 ,随时 开发 随时 测试 ,最 大 
限度 地 保证 个 人 开发 程序 的 安全 性 。 发 现 问题 越 早 ,解决 问题 的 成 本 就 越 低 ,这 为 Web 
应 用 的 安全 提供 了 最 为 坚实 的 基础 保障 。 

系统 测试 人 员 使 用 AppScan 对 应 用 做 全 面 的 测试 ,一 旦 发 现 问题 ,可 以 快速 生成 缺 
陷 报 告 ,然后 传递 到 开发 人 员 手 中 ,指导 开发 人 员 迅 速 解决 问题 。 极 大 地 提高 了 开发 团队 
的 开发 效率 ,也 提供 了 较为 完整 的 安全 解决 方案 。 


思 考题 
1. 简 述 AppScan 工具 的 使 用 方法 。 


2. 简 述 各 个 攻击 方式 的 原理 。 
3. 简 述 测试 报告 中 各 项 的 含义 。 
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分 析 使 用 HTTP 和 HTTPS 协 议 
通信 工具 WebScarab 


4.1 WebScarab 简介 


He Edt Eugn Toos Window Hep 


WebScarab 是 一 款 代理 软件 ,包括 HTTP AIE, F8] 4845 , Fd 4f 88k 235 ID 49r. K Zh 
脚本 接口 模糊 测试 工具 、 对 所 有 流行 的 Web 格式 的 编码 /解码 .Web 服务 描述 语言 和 SOAP 
解析 器 等 ,注意 ,该 软件 运行 需要 首先 安装 JRE, 然 后 直接 运行 第 三 个 install. jar 即 可 。 

411 WebScaab 的 特点 

WebScarab 可 以 分 析 使 用 HTTP 和 HTTPS 协议 进行 通信 的 应 用 程序 , WebScarab 
可 以 用 最 简单 的 形式 记录 它 观 察 的 会 话 ,并 允许 操作 人 员 以 各 种 方式 观察 会 话 。 如 果 需 


要 观察 一 个 基于 HTTP(S) 应 用 程序 的 运行 状态 ,那么 WebScarab 就 可 以 满足 这 种 需要 ， 
如 图 4-1 所 示 。 
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图 4-1 OWASP WebScarab 
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WebScarab 的 HTTP 代理 提供 了 预期 的 功能 (包括 HTTPS 拦截 ,不 过 和 PAROS 
一 样 有 认证 报警 )。WebScarab 也 提供 了 一 些 附加 的 功能 ,比如 SSL 客户 认证 支持 ,十 六 
进 制 或 URL 编码 参数 的 解码 ,内置 的 会 话 ID 分 析 和 一 键 式 “ 完 成 该 会 话 ” 以 提高 效率 
等 。 就 基本 功能 而 言 , WebScarab 和 PAROS 差不多 ,但 WebScarab 为 更 懂 技 术 的 用 户 
提供 了 更 多 的 功能 ,并 提供 了 对 隐藏 的 底层 更 多 的 访问 。 


412 WebScarab 界 面 总 览 
WebScarab 默认 启动 轻 量 (Lite) 方 式 , 如 图 4-2 和 图 4-3 所 示 。 


[é] WebScarab L ECE 
Ele View Tools Help 
Summary | Intercept 
C Tree Selection filters conversation list 
Ur Methods Status | Set-Cookie| Forms DomXss |Hil 
» 
Dr Date Method Host Path | Parameters. 


M » 
Used 18.54 of 247.5MB. 


图 4-2 WebScarab Lite 界面 的 Summary 选项 卡 


图 4-3 WebScarab Lite 界面 的 Intercept 选项 卡 
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在 Tools 中 选择 Use full-featured interface 菜单 项 ,可 以 选择 全 视图 ,如 图 4-4 所 示 。 


Hidden fiela Saripts File upload 


图 4-4 选择 全 视图 


全 视图 中 列 出 了 WebScarab 的 其 他 附加 的 功能 ,界面 如 图 4-5 所 示 。 


Eie View Jools Help 
| SessionID Analysis | Scripted | Fragments | Furzer | Compare 
Summary | Messages | Proxy Manual Request | 
C Tree Selection fiters conversation list 
Methods Status |Possible In| 


uf 
L 
i 


Has 全 视图 


4.2 WebScarab 的 运行 


421 WebScarab 下 载 与 环境 配置 
安装 说 明 : 该 软件 是 基于 Java 开发 的 ,所 以 安装 前 ,要 求 用 户 的 计算 机 已 经 安装 了 
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n-a 


Java 运行 环境 。 
WebScarab 的 下 载 链接 如 下 : 
https://www. owasp. org/index. php/Category; OWASP WebScarab Project 
WebScarab 在 运行 前 需要 先 配置 Java 环境 ,具体 步骤 请 参考 以 下 内 容 : 
http://jingyan. baidu. com/article/6dad5075d1dc40a123e36ea3. html 


422 在 Wndows 下 运行 WebScarab 


GUY o RERO SHOE 


* £5 修改 日 其 zm X^ 
[DD startbat 1KB 
D startsh 文件 1KB 
日 tS-webscarab-instructions.pdf Foxit Reader PD. 812 KB 


2011/1 Executable Jar Fle 8,240 KB 


加 webscarab-one-20110329-1330jar 2011/11/21 1851 Executable Jar File — 4717 KB 


46 解压 文件 


là webscarab-ng-02.Lone-jarjar 


也 可 以 下 载 文件 名 后 缀 为 jar 的 WebScarab, 在 命令 行 中 运行 命令 java -jar 
WebScarab. jar 打开 该 文件 (相关 工具 中 有 下 载 链接 ) ,如 图 4-7 所 示 。 


Jsers\hmj\Desktop>java -jar WebScarab. jar 


图 4-7 命令 行 运行 


4.3 WebScarab 的 使 用 


431 功能 与 原理 


WebScarab 工具 的 主要 功能 是 : 利用 代理 机 制 , 可 以 截获 客户 端 提 交 至 服务 器 的 所 
有 HTTP 请 求 消息 ,还 原 HTTP 请 求 消息 并 以 图 形 化 界面 显示 其 内 容 ,同时 支持 对 
HTTP 请 求 信息 进行 编辑 修改 。 

原理 : WebScarab 工具 采用 Web 代理 原理 ,客户 端 与 Web 服务 器 之 间 的 HTTP 请 
求 与 响应 都 需要 经 过 WebScarab 进行 转发 ,WebScarab 将 收 到 的 HTTP 请 求 消息 进行 
分 析 , 并 将 分 析 结 果 图 形 化 显示 ,如 图 4-8 所 示 。 


HTTP 请 求 HTTP 请 求 
«ramas qu» Web 服 务 器 


图 4-8 原理 图 


432 界面 介绍 
首先 ,假定 用 户 能 够 自由 访问 因特网 ,也 就 是 说 ,用 户 并 非 位 于 一 个 代理 之 后 。 为 了 
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简单 起 见 , 还 假定 用 户 使 用 的 浏览 器 是 Internet Explorer(IE) 。 

图 4-4 是 WebScarab 启动 后 的 截图 ,其 中 有 几 个 主要 的 区 域 需要 介绍 一 下 。 首 先 要 
介绍 的 是 工具 栏 , 从 这 里 可 以 访问 各 个 插件 .摘要 窗口 ( 主 视 图 ) 和 消息 窗口 。 

摘要 窗口 分 成 两 个 部 分 。 上 面部 分 是 一 个 树 表 , 显 示 用 户 访问 的 站 点 的 布局 以 及 各 
个 URL 的 属性 。 下 面部 分 是 一 个 表格 ,显示 通过 WebScarab 可 以 看 到 的 所 有 会 话 ,正常 
情况 下 它们 以 ID 逆序 排列 ,所 以 靠近 表 顶 部 的 是 最 近 的 会 话 。 当 然 , 会 话 的 排列 次 序 是 
可 以 更 改 的 ,如 果 需 要 ,只 需 单 击 列 标 头 即 可 。 

为 了 将 WebScarab 作为 代理 使 用 ,需要 配置 浏览 器 ,让 浏览 器 将 WebScarab 作为 其 
代理 。 用 户 可 以 通过 IE 的 工具 菜单 完成 配置 工作 。 通 过 菜单 栏 ,依次 选择 菜单 “工具 ?一 
"Internet 选项 ”>“ 连 接 ”>“ 局 域 网 设置 "来 打开 “局 域 网 (LAN) 设 置 ” 对 话 框 ,如 图 4-9 
所 示 。 


€ 局 过 网 (LANj 设 时 w 


自动 配置 
上 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 


自动 检测 设置 内 
E SOR CEU SI 
Ma RI | EN 


代理 服务 器 
回 为 LAN 使 用 代理 服务 器 [这 些 设置 不 用 于 拨号 或 YPN ERK 


IAEE): localhost om: 8008 


日 对 于 本 地 地 址 不 使 用 代理 服务 器 (B] 
[了 | 
图 4-9 代理 设置 


WebScarab 默认 时 使 用 localhost 的 8008 端口 作为 其 代理 。 需 要 对 TE 进行 配置 ,让 
IE 把 各 种 请 求 转 发 给 WebScarab, 而 不 是 让 IE 读 取 这 些 请 求 。 确 保 除 “为 LAN 使 用 代 
理 服 务 器 ”之 外 的 所 有 复 选 框 都 处 于 未 选中 状态 。 为 TE 配置 好 这 个 代理 后 ,在 对 话 框 中 
单 击 “ 确 定 ” 按 钮 ,并 重新 回 到 浏览 器 。 浏 览 一 个 非 SSL 的 网 站 ,于 是 转向 WebScarab, 

这 时 ,应 该 看 到 图 4-10 所 示 的 画面 。 如 果 没 有 出 现 该 画面 ,或 者 是 在 浏览 时 遇 到 错 
误 ,应 当 回 到 上 面 的 步骤 ,检查 Internet Explorer 中 的 代理 设置 是 否 如 上 所 述 。 如 果 代 理 
设置 是 正确 的 ,还 有 一 种 可 能 是 端口 8008 已 经 被 其 他 程序 占用 ,这 样 WebScarab 就 无 法 
正常 使 用 该 端口 了 。 此 时 应 当 停 用 那个 程序 。 

注意 ; 如 果 用 户 正在 使 用 WebScarab 测试 的 站 点 与 浏览 器 位 于 同一 个 主机 之 上 ( 即 
localhost 或 者 127. 0.0.1) ,并 且 浏 览 器 为 IE7, 则 需要 在 主机 名 的 后 面 添加 一 个 点 号 “.”， 
从 而 强迫 IE7 使 用 用 户 配置 的 代理 。 这 不 是 WebScarab 的 一 个 Bug, 而 是 IE 开发 人 员 
所 做 的 一 个 令 人 遗憾 的 设计 决策 。 如 果 IE 觉得 用 户 试图 访问 的 服务 器 位 于 本 地 计算 机 
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Eile Vew Toos Help 
XSSICRLF | SessionD Analysis | Scripted | Fragments | Furzer | Compare | Search | SAML 


un Methods | Status |Possiblein.| Injection | Set-Cookie] Forms 
加 mp1M8097.63.13980/ 国 [m] [7] [z] 
| 上 口 doudquerphp POST 2000K ii ii al 国 
四 Mp180.97.63.140.80/ "| 国 国 I] 
[E tpfa. emarbox.com:80/ "| 国 I] 国 
tado 国 [mi 国 国 
— [Y ?ifo=20387_594844_10106 GET 2000K 国 国 国 [zi 
(EZ http addens. g-tox.en:80/ 国 [mi I] 国 
e ES htp radu.g-fox cn:80/ 国 国 日 [m] 
© (C http atant alicdn. com 0r u u D u 
EZ] MtpIbookmarksfirefoxchina cn:80/ 日 [7] 国 I] 
$$ 四 bookmarks; "| [Ti I] 国 
| [A unainn ison An An a n 


Host Path 
[ntpylog hildo lc gif 
IntpJaddons.9-.. [oif 

bookmark... bookmark... 
Ji firefoxch... bookmark 
www baic. 
Jaddons.g-.|mabgf |»c-ntab&t-.. 
addons g..ntabgf  czntab&t- -| 
addons 9-.. firstLocalio-.?p-false&a. 
Jinewtab fit... ['error-tab-r... 


Used 32.3601 247.58. 


图 4-10 ”拦截 结果 


上 , 它 就 会 忽略 所 有 的 代理 设置 ,欺骗 它 的 一 个 方法 是 在 主机 名 后 面 加 一 个 点 ,例如 
http://localhost. /WebGoat/attack 这 将 强迫 IE 使 用 用 户 配置 的 代理 。 

在 图 4-10 中 可 以 看 到 一 个 URL 树 ,用 来 表示 站 点 布局 ,以 及 经 过 WebScarab 的 各 
个 会 话 。 要 想 查看 一 个 特定 会 话 的 详细 信息 ,可 以 双击 表 中 的 一 行 ,这 时 会 弹出 一 个 显示 
请 求 和 响应 的 详细 信息 的 窗口 ,如 图 4-11 所 示 ,可 以 通过 多 种 形式 来 查看 请 求 和 响应 ,这 


value. 
multipartform-data; boundary-d41d8cd98f00D. 
B8 


— Used 3791 of247.5MB 


图 4-11 会 话 窗口 
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里 显示 的 是 一 个 Parsed 视图 ,在 这 里 ,报头 被 分 解 成 一 个 表 , 并 且 请 求 或 者 响应 的 内 容 按 
Hl Content-Type 报头 进行 显示 。 还 可 以 选择 Raw 格式 ,这 样 请 求 或 者 响应 就 会 严格 按 
照 它们 的 原始 形态 展示 。 

在 会 话 窗口 中 ,可 以 通过 Previous 按钮 和 Next 按钮 从 一 个 会 话 切换 到 另 一 个 会 话 ， 
也 可 通过 下 拉 式 组 合 框 直 接 跳 到 特定 的 会 话 。 


4.4 请 求 拦截 
现在 ,读者 已 经 熟悉 了 WebScarab 的 基本 界面 ,并 且 正 确 地 配置 了 浏览 器 , 接 下 来 要 
做 的 就 是 拦截 一 些 请 求 ,并 且 在 它们 被 发 送 给 服务 器 之 前 对 其 进行 修改 。 
441 启用 代理 插件 拦截 


启用 代理 插件 拦截 功能 的 方法 是 : 选择 Proxy 选项 卡 , 然 后 ,选择 Manual Edit 选项 
卡 ,选中 Intercept requests 复 选 框 ,读者 就 可 以 选择 希望 拦截 的 请 求 方法 (大 部 分 情况 下 
是 GET 或 者 POST), 甚 至 可 以 使 用 Ctrl 十 单 击 的 方式 选择 多 个 方法 。 目 前 ,只 选择 
GET, 如 图 4-12 所 示 。 


lij WebScarab Ferrera] 


SessioniD Analysis | Scripted | Fragments | Fuzzer | Compare | Search | sam | 
Summary | Messages | Proxy | WanualRequest | Spider | Extensions | XSSICRLF 
Listeners | ManualEdit | Bean Shell | Miscellaneous 


图 4-12 ”代理 插件 拦截 功能 


442 浏览 器 访问 UR 
现在 ,返回 到 浏览 器 ,并 单 击 一 个 链接 。 这 时 ,将 会 看 到 图 4-13 所 示 的 窗口 ,最 初 , 它 
只 是 在 任务 栏 闪烁 ,只 要 单 击 它 , 就 能 正确 显示 了 。 
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Intercept requests: v] Intercept responses: C] 


Version 
IAccept rr 
JAccept-Language. [zh-CN 
lx-flash-version 11.5.502.110 
[Content-Type |applicationA-www-form-urlencoded 
|Content-ength. 116 
Accept-Encoding |gzip. defate 
User-Agent Mozilla/4.0 (compatible; MSIE 7.0; Windows NT Insert. 
| Host |dientshow .qqcom 
Pron-Connecion Keep-Aive Dee 
Pragma [no-cache 
Cookie |pgw_ pid=7753548904 0. cookie- 1446878469. 


URLEncoded | Text | Hex | 

Position | ol 1] 2| 3] 4| 5| e| 7| 8] e| ^| e] c| of E| F Sting 

[00000000 — [75 [69 [6E [3D [31 [34 [34 [36 [58 [37 [38 [34 [36 [39 [26 [73 |uin=1 44687846985 ^ 
[00000010 — jS |6E [64 [75 |69 [6E [3D [34 37 [30 [37 [30 31 [30 [31 [32 |enduin-470701012 

[00000020 Jae [13 [se |e5 [72 [73 |e9 jer je [sp [2 [50 1 [54 26 [63 jasVersi en-201 4c 

joo000030 — jeB les [79 bn |42 37 38 38 Bs Bs 33 33 [ar |41 |41 |44 leey=B7888833AAAD - 


[TS 
图 4-13 编辑 请 求 页 面 


443 编辑 拦截 请 求 


现在 ,读者 就 可 以 编辑 选择 的 请 求 的 任何 部 分 了 。 需 要 注意 的 是 ,报头 是 以 URL 译 
码 形式 显示 的 ,而 输入 的 一 切 都 会 自动 地 进行 URL 编码 。 如 果 用 户 不 想 这 样 , 则 可 以 使 
用 Raw 模式 。 在 某 些 情况 下 ,使 用 Raw 模式 可 能 是 最 简单 的 形式 ,尤其 是 希望 粘贴 某 些 
东西 的 时 候 。 

做 出 修改 后 , 单 击 Accept changes 按钮 就 会 将 修改 后 的 请 求 发 送 到 服务 器 。 如 果 用 
户 希望 取消 所 在 的 修改 ,可 以 单 击 Cancel changes 按钮 ,这 样 就 会 发 送 原 始 的 请 求 。 还 可 
以 单 击 Abort request 按钮 ,如 果 用 户 根本 不 想 给 服务 器 发 送 一 个 请 求 , 这 会 向 浏览 器 返 
回 一 个 错误 。 最 后 ,如 果 打 开 了 多 个 拦截 窗口 (也 就 是 说 浏览 器 同时 使 用 了 若干 线程 ) ,可 
以 使 用 Cancel ALL intercepts 按钮 来 释放 所 有 的 请 求 。 

WebScarab 将 一 直 拦截 所 有 的 匹配 用 户 指定 的 方法 的 请 求 ,直到 用 户 在 拦截 会 话 窗 
口 或 者 Proxy 插件 的 Manual Edit 选项 卡 取消 选中 Intercept requests 复 选 框 为 止 。 但 
是 ,读者 可 能 会 奇怪 : 为 什么 WebScarab 不 会 拦截 对 图 像 FERK JavaScript 等 内 容 的 
请 求 。 如 果 返 回 到 Manual Edit 选项 卡 ,将 会 看 到 一 个 标识 为 "Exclude paths matching: " 
的 字段 , 这 个 字段 包含 一 个 正则 表达 式 , 用 于 匹配 请 求 的 URL, 如 果 匹 配 , 则 该 请 求 就 不 
会 被 拦截 。 

如 果 想 改变 页 面 某 些 行为 ,还 可 以 通过 配置 WebScarab 使 其 拦截 有 关 响 应 ,例如 ,可 
以 禁用 JavaScript 验证 ,修改 SELECT 字段 可 选项 等 。 
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4.5 WebScarab 运行 实例 


为 了 读者 能 更 好 地 了 解 WebScarab 的 运行 机 制 , 下 面 通过 一 个 简单 的 实例 来 初步 介 
绍 WebScarab 工作 的 步骤 。 


V Internet 属性 ra] 


451 设置 代理 — 
d musei nete (Rm ) 
A) 打开 IE 3E TEE I." T.H" "Internet HERRRERRÁRE 00 
选项 命令 , 单 击 “ 连 接 ? 选 项 卡 , 单 击 * 局 域 网 Hi ipm. 
设置 按钮 ,如 图 4-14 所 示 。 一 
(2) 在 “局 域 网 (LAN) 设 置 " 对 话 框 中 , 勾 QEESSRERKESS Was UO HEO 
XE" LAN 使 用 代理 服务 器 ”, 同 时 不 勾 选 
“对 于 本 地 地 址 不 使 用 代理 服务 器 ”, 如 图 4-15 
所 示 。 和 
(3) 单 击 “ 高 级 "按钮 ,在 “代理 设置 "对 话 | i 
框 中 , 勾 选 “对 所 有 协议 均 使 用 相同 的 代理 服 
务 器 ”, 如 图 4-16 所 示 。 
(4) 单 击 Proxy 选项 卡 , 单 击 Listeners 
选项 卡 ,输入 本 机 的 地 址 以 及 端口 ,端口 要 和 
“局 域 网 (LAN) 设 置 ”对 话 框 中 的 一 致 ,最 后 单 击 Start 按钮 ,如 图 4-17 Bros 


E 


Aa) Bh) mmo ] 


图 4-14 局 域 网 设置 


€ BAUN 
自动 配置 有 各 
自动 配置 会 村 痊 手 动 设置 。 要 确保 使 用 手动 设置， 请 禁用 自动 配 PAIO 要 使 用 的 代理 服务 加 地 直 wo 
H. sa NIP ON; localhost 8008 
C 自动 检测 设置 内 $$5) eds ]:Em ] 
CSHOAEENÁAS > FIR): Localhost ] :em ] 
MER) #0: |: |) 
代理 服务 器 回 对 所 有 协议 均 使 用 相同 的 代理 服务 器 QU) 
回 为 LAN 使 用 代理 服务 器 [这些 设置 不 用 于 扫 号 或 VPN E EDO B 
地 址 [E): localhost gom: 8008 高 级 [cl MT Ru slg 
目 对 于 水 地 地 址 不 使 用 代理 服务 器 [B) 
使 用 分 号 (:) 分 隔 各 项 。 
(ae J[ wa E 
A 4-15 设置 代理 服务 器 图 4-16 代理 服务 器 设置 


452 捕获 HTTP 请 求 


(1) 选择 Proxy 选项 卡 ,再 选择 Manual Edit 选项 卡 。 
(2) 勾 选 Intercept requests 复 选 框 。 
(3) 在 Methods 列表 中 选择 POST。 
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SossionlD Analysis | Scripted | Fragments | Fuzzer | Compare | Search | sAm. | OpenD | WSFederaion | identity | —- 


Summary Messages Manual Request Spider Extensions XSSICRLF 
Manual Edit | Bean Shell | Miscellaneous 
Address Port | Base URL | Primary 


Address. Pot Base URL Speed Primary? 
| En es O 
Time O [memod] URL Status 
| 
| Used 7652 of 18190MB 
图 4-17 开始 监听 


(4) 在 “Include paths matching:” 中 输入 一 些 限制 条 件 ,这 里 输入 “*. * test, "sl 
图 4-18 所 示 。 


图 4-18 设置 拦截 请 求 
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(5) 捕获 第 一 个 HTTP 请 求 。 


在 WebScarab 中 ,在 拦截 之 前 访问 http://demo. testfire. net/bank/login. aspx, 如 
图 4-19 所 示 。 


(EJO demotestireneyborkiognaspx 四 器 7c|[Q aro |fB & f 6 5-8 95 
图 Eis (7 网 络 接 入 系统 图 nbat Vf SERI E 虎 扑 nba Ò Binba C) SABR Q Web 安 全 IRE 小 百合 CI 推 免 系统 » 
Sian In | Contact Us | Feedback | Search [so 


AltoroMutual > EO S 


Online Banking Login 


Usemame: — test 


Password: 


图 4-19 访问 testfire 网 站 


在 Username 中 输入 test. fE Password 中 输入 123456 。 
453 修改 请 求 


在 WebScarab 中 勾 选 Intercept requests 之 后 单 击 Login 按钮 ,此 时 WebScarab 弹出 
Edit Request 窗口 。 这 时 用 户 可 以 编辑 这 个 请 求 ,把 变量 uid 修改 为 admin, passw 改 为 
admin。 单 击 Accept changes 按钮 ,如 图 4-20 所 示 。 


图 4-20 查看 修改 后 的 结果 
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454 修改 后 的 效果 


最 后 ,可 以 在 网 页 中 查看 请 求 被 修改 以 后 的 效果 (账户 test/123456 是 无 法 登录 的 ， 
修改 请 求 后 就 可 以 登录 成 功 ) ,如 图 4-21 所 示 。 


rT FE Ó X |S mooment ont 


Ey ——'"EI 
AltoroMutual Lz 61 


[ETT p Te Tus asma. 
re Hello Admin User 

REST 

Ho 
== 


图 4-21 修改 后 的 效果 


4.6 本 章 小 结 


WebScarab 主要 是 利用 代理 机 制 , 它 可 以 拦截 客户 端 提交 至 服务 器 的 所 有 HTTP 请 
求 消息 ,还 原 HTTP 请 求 消息 并 以 图 形 化 界面 显示 其 内 容 , 还 支持 HTTP 请 求 消息 进行 
修改 。 

Web 应 用 中 POST 请 求 是 用 于 提交 复杂 表单 最 常见 的 方法 ,不 同 于 GET 取 值 ,用 户 
无 法 仅 通过 查看 网 页 浏览 器 窗口 顶部 的 URL 来 得 知 所 有 被 传递 的 参数 ,但 可 以 使 用 
Web 代理 工具 观察 提交 的 POST 数据 ,而 WebScarab 就 是 一 种 Web 代理 , 介 于 浏览 器 与 
真实 的 Web 服务 器 之 间 , 所 以 利用 它 可 以 截获 消息 并 阻止 或 更 改 这 些 消息 。 

WebScarab 与 常见 的 Web 代理 有 以 下 两 点 不 同 : 

(1) WebScarab 通常 与 Web 客户 端 运行 在 一 台 计 算 机 上 ,而 常规 代理 则 搭建 起 来 作 
为 网 络 环境 的 一 部 分 。 

(2) WebScarab HF EIR Hi HRA HTTP 请 求 和 响应 中 与 安全 有 关 的 内 容 。 


1. MÆ WebScarab 工具 的 使 用 方法 。 
2. 简 述 WebScarab 的 工作 原理 。 
3. 尝试 通过 WebScarab 捕获 HTTP 请 求 ,并 修改 请 求 。 
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5.1 SQL 注入 


SQL 注入 (SQL injection) ,也 称 注入 攻击 ,是 发 生 于 应 用 程序 的 数据 库 层 的 安全 漏 
洞 。 简 而 言 之 ,是 在 输入 的 字符 串 之 中 注入 SQL 指令 。 在 设计 不 良 的 程序 当中 忽略 了 检 
查 ,数据 库 服务 器 就 会 将 这 些 注入 进去 的 指令 误 认为 是 正常 的 SQL 指令 来 运行 ,因此 遗 
到 破坏 或 入侵。 


511 注入 风险 


在 应 用 程序 中 若 有 下 列 状况 , 则 可 能 应 用 程序 正 暴露 在 SQL 注入 的 高 风险 情况 下 : 

CD 在 应 用 程序 中 使 用 字符 串联 结 方式 组 合 SQL 指令 。 

(2) 在 应 用 程序 链接 数据 库 时 使 用 权限 过 大 的 账户 (例如 ,很 多 开发 人 员 都 喜欢 用 sa 
(内 置 的 最 高 权限 的 系统 管理 员 账户 ) 连 接 Microsoft SQL Server 数据 库 ) 。 

(3) 在 数据 库 中 开放 了 不 必要 但 权力 过 大 的 功能 (例如 Microsoft SQL Server 数据 
库 中 的 xp_cmdshell 延伸 预存 程序 或 OLE Automation 预存 程序 等 ) 。 

(4) 过 于 信任 用 户 所 输入 的 数据 ,未 限制 输入 的 字符 数 ,以 及 未 对 用 户 输入 的 数据 做 
潜在 指令 的 检查 。 


512 作用 原理 


(1) SQL 命令 可 执行 查询 .插入 ,更 新 .删除 等 操作 以 及 进行 命令 的 串 接 ,而 以 分 号 字 
符 为 不 同 命令 的 分 隔 符 (SQL 命令 原本 用 于 SubQuery 或 作为 查询 .插入 ,更 新 ,删除 等 的 
条 件 式 ) 。 

(2) 在 SQL 命令 中 ,传人 的 字符 串 参 数 是 用 单 引号 字符 所 包 起 来 的 (但 连续 两 个 单 
引号 字符 在 SQL 数据 库 中 则 视 为 字符 串 中 的 一 个 单 引号 字符 ) 。 

(3) SQL 命令 中 ,可 以 插入 注释 (连续 两 个 减 号 字符 一 一 后 的 文字 ,或 /* 与 * /所 包 
起 来 的 文字 为 注释 ) 。 

因此 ,如 果 在 组 合 SQL 的 命令 字符 串 时 未 针对 单 引号 字符 作 取 代 处 理 ,将 导致 该 字 
符 变量 在 填 人 命令 字符 串 时 使 原本 的 SQL 语法 的 作用 被 恶意 算 改 。 


513 注入 例子 
例如 , 某 个 网 站 的 登录 验证 的 SQL 查询 代码 为 
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StrSQL= "ELCT * FROM users WHERE (name= '" +UserName +"") 
and (p= "+ passWord + "');" 


恶意 填 人 注入 代码 


userName- "1' CR '1'= "1"; 


passiord- "1' cR ''- "1; 
时 ,将 导致 原本 的 SQL 字符 串 被 替换 为 
strSQI= "SELECT * FROM users WHERE (name= '1' CR '1'='1') 
and pe "1! QR = 1);" 
也 就 是 实际 上 运行 的 SQL 命令 会 变 成 下 面 这 样 : 
StrSQL- "SELECT * FROM users;" 


因此 无 账号 密码 亦 可 登录 网 站 。 

SQL 注入 攻击 也 称 为 黑客 的 填空 游戏 。 所 以 对 网 站 进行 SQL 注入 的 安全 测试 是 必 
不 可 少 的 。 现 在 ,已 经 有 各 种 专门 针对 SQL 注入 测试 的 测试 工具 出 现 ,比如 SQLmap、 
Pangolin 等 。 下 面 介绍 SQL 注入 测试 工具 Pangolin, 


5.2 Pangolin 简介 


Pangolin 是 一 款 进 行 SQL 注入 测试 的 安全 测试 平台 ,用 于 指导 Web 产品 开发 人 员 
或 者 安全 评估 人 员 进 行 SQL 注入 漏洞 的 发 现 、 演 示 。 从 而 帮助 企业 改善 Web 的 安全 性 ， 
有 利于 保护 企业 的 信息 资产 。 另 外 ,Pangolin 也 能 够 用 于 测试 Web 应 用 防火 墙 .IDS IPS 
等 安全 产品 的 实现 完整 性 。 所 谓 的 SQL 注入 测试 就 是 通过 利用 目标 网 站 的 某 个 页 面 缺 
少 对 用 户 传递 参数 控制 或 者 控制 得 不 够 好 的 情况 下 出 现 的 漏洞 ,从 而 达到 获取 、 修 改 、 删 
除数 据 , 甚 至 控制 数据 库 服 务 器 、Web 服务 器 的 目的 的 测试 方法 。Pangolin 能 够 通过 一 
系列 非常 简单 的 操作 ,达到 最 大 化 的 安全 测试 效果 。 它 从 检测 注入 开始 到 最 后 控制 目标 
系统 都 给 出 了 详细 且 方 便 操 作 的 测试 步骤 。 


521 使 用 环境 


Pangolin 目前 只 支持 Windows 系统 。 为 保证 Pangolin 安全 测试 平台 的 正确 运行 ， 
需要 安装 Windows 版 本 的 操作 系统 。 另 外 ,为 保障 软件 运行 流畅 ,还 需要 至 少 64MB 
RAM, 该 软件 对 硬盘 空间 的 需求 则 很 小 。 


522 版 本 介绍 


Pangolin 针对 不 同 的 用 户 定制 了 如 下 几 个 版 本 : 
(1) 免费 版 : 针对 拥有 个 人 网 站 的 用 户 ,用 于 个 人 进行 自 测试 。 支 持 Access 数据 库 
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和 MySQL 数据 库 。 


(2) 标准 版 : 针对 中 小 企业 进行 自 评估 ,在 免费 版 本 的 基础 上 支持 MySQL, Oracle 
数据 库 。 

(3) 专业 版 : 针对 大 型 企业 或 者 专业 安全 服务 公司 的 用 户 , 用 于 进行 深入 的 评估 测 
试 。 在 标准 版 的 基础 上 支持 DB2 Informix, Sybase, PostgreSQL, 


523 特性 清单 


Pangolin 支持 如 下 一 些 特性 : 
a) 自动 注入 判断 。 支 持 GET/POST/COOKIE 注入 方式 ,同时 支持 整 型 .字符 型 、 
搜索 型 注入 判断 。 
(2) 独创 的 自动 关键 字 分 析 技 术 ,能 够 在 服务 器 屏蔽 了 错误 提示 信息 的 情况 下 进行 
注入 判断 。 
(3) 支持 盲 注 ,在 屏蔽 错误 提示 的 情况 下 能 够 快速 获取 数据 库 信息 。 
(4) 支持 UNION 或 者 Order by 方式 的 字段 判断 。 
(5) 独创 的 正确 错误 页 面 的 判断 方法 ,返回 大 小 判断 和 状态 码 判 断 。 
(6) 支持 目前 所 有 主流 数据 库 。 
(7) 支持 扫描 URL 中 携带 的 所 有 参数 。 
(8) 支持 绕 过 某 些 Web 防火 墙 。 
(9) 完美 的 字符 编码 判断 。 
0) 支持 配置 项 保存 。 
1) 支持 HTTPS。 
2) 支持 预 登录 , 即 某 些 需要 登录 认证 才能 访问 注入 URL 的 情况 。 
3) 支持 HTTP 标题 头 完全 自 定义 。 
14) 支持 代理 服务 器 ,HTTP/SOCK4/SOCK5 等 类 型 的 代理 。 
D 支持 状态 操作 ,可 以 随时 暂停 .回复 停止 注入 过 程 。 
6) 支持 数据 库 保 存 注入 结果 。 
7) 支持 自动 升级 。 
D 支持 多 语言 ,内 置 英文 .简体 中 文 繁体 中 文 。 支 持 语言 文件 自 扩展 。 
9) 支持 多 主题 样式 界面 。 
(20) 其 他 。 


AAA J Sy 


5.3 安装 与 注册 


Pangolin 通过 license 授权 使 用 ,因此 除 免费 版 外 ,其 他 的 版 本 在 初次 运行 时 需要 进 
行 注册 。 请 按照 如 下 步骤 进行 注册 : 

(1) 运行 后 将 出 现 图 5-1 所 示 的 界面 。 

(2) 在 Email 文本 框 中 输入 注册 用 户 的 邮件 地 址 ,输入 后 Copy Information 按钮 将 
会 变 为 可 用 ,如 图 5-2 所 示 。 
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Register Form 


图 5-2 输入 邮件 信息 后 的 注册 界面 


单 击 Copy Information 按钮 后 将 会 将 信息 保存 到 剪贴 板 中 ,这 时 粘贴 出 来 会 是 如 下 
格式 ， 


Email: 
Serial ID: 


(3) 将 该 信息 通过 邮件 发 送 给 该 软件 的 官网 客服 ,获取 注册 信息 。 
(4) 系统 发 送 的 密码 (Key) 格 式 为 4 组 以 连 字符 (-) 分 隔 的 字符 串 , 每 组 字符 串 由 
8 个 字母 或 数字 字符 组 成 。 将 系统 发 来 的 Key 信息 输入 到 Key 文本 框 中 ,如 图 5-3 所 示 。 


Register Form 


Email : user@mail.com 
Serial ID : 12-40-5D-40-E3-53-20-7C 
[B531A640-3A83C984-9051DDAD-CACIDE 


EFE 


图 5-3 输入 信息 完成 后 的 注册 界面 
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(5) 单 击 Register 按钮 ,如 果 信 息 正确 将 会 弹出 注册 成 功 对 话 框 ,如 图 5-4 所 示 。 


图 5-4 注册 成 功 对 话 框 


(6) 重启 Pangolin 后 完成 注册 。 这 时 就 可 以 正常 使 用 了 。 


5.4 Pangolin 使 用 


541 注入 阶段 


现在 开始 一 次 完整 的 SQL 注入 之 旅 。 一 次 正常 的 注入 过 程 大 致 分 为 如 下 几 个 阶段 ; 
(1) 注入 漏洞 判断 与 注入 类 型 (Integer String .Search) 判 断 。 

(2) 后 台数 据 库 判断 : DB2 Informix, Sybase, PostgreSQL 等 。 

(3) 基本 信息 获取 : OS, Server account 等 。 

(4) 数据 信息 获取 :tables columns, data 等 。 

(5) 高 级 功能 测试 如 读 写 文件 . 读 写 注 册 表 等 。 


542 主 界面 介绍 
Pangolin 界面 由 若干 个 部 分 构成 ,如 图 5-5 所 示 。 
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Pangolin 顶部 包括 菜单 栏 .工具 栏 ,注入 信息 区 ,中 间 是 操作 区 和 人 允许 日 志 信息 区 , 底 
部 是 状态 栏 和 进度 提示 栏 。 


543 配置 界面 介绍 


在 扫描 前 ,可 能 会 根据 需要 做 相应 的 配置 。 在 配置 界面 中 ,可 以 针对 HTTP 协议 、 代 
理 漏洞 扫描 属性 等 进行 详细 的 定制 化 的 配置 。 下 面 介 绍 4 个 模块 的 配置 。 

1. HTTP 配置 

HTTP 配置 界面 如 图 5-6 所 示 。 

在 HTTP 配置 中 ,用 户 可 以 完全 自 定义 HTTP 请 求 包 中 的 标题 头 。 常 用 的 场景 如 下 : 

目标 服务 器 对 User-Agent (UA) 做 了 限制 ,可 能 不 允许 不 可 识别 的 UA 标题 头 , 或 者 只 多 
VF Google 的 候 虫 等 ;针对 本 场景 ,系统 内 置 了 一 些 常见 的 UA 供用 户 进行 切换 ,如 图 5-7 所 示 。 


|User-Agent: Mozila/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1 
Cache-Control: no-cache 
(Connection: Keep-Alive 


A 5-6 HTIP 配置 界面 图 5-7 UA 配置 选项 


目标 服务 器 需要 进行 认证 ,系统 可 能 需要 先 登 录 , 青 使 用 认证 后 的 会 话 信息 , 这 时 需 
要 制定 Cookie 头 域 。 针 对 本 场景 ,系统 提供 了 内 置 的 预 登录 功能 , 单 击 Read Cookie 按 
钮 ,出 现 图 5-8 所 示 的 界面 。 


1 


GER: 215) E65 http: //demo.testfire.net/... 


图 5-8 预 登 录 功 能 
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在 URL 中 输入 待 注入 的 网 址 ,例如 http: / /demo. testfire. net/ ,然后 单 击 >| 按钮 进 


行 登录 ,再 单 击 区 按钮 进行 Cookie 获取 。 这 时 在 HTTP 头 域 输入 框 中 就 会 自动 导出 
Cookie, 如 图 5-9 所 示 。 


|| per * 


Co esi cose. (Queis x] 


Ser-Agent Mozila/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1] 


Vom v X eme 
图 5-9 Cookie 获取 


最 后 ,可 能 Refer( 即 上 一 个 页 面 的 地 址 ) 也 是 目标 判断 的 依据 ,也 需要 填写 。 
2. 代理 配置 


Pangolin 还 能 够 进行 代理 配置 ,配置 界面 如 图 5-10 所 示 。 


vitem JL Deom] 


Bs10 代理 配置 界面 


Proxy 配置 包括 Proxy Type, Host, Port, Username, Password. 

3. 扫描 配置 

扫描 配置 界面 如 图 5-11 所 示 。 

扫描 配置 可 以 勾 选 需要 扫描 的 东西 ,包括 : 

* Scan with SEARCH-TYPE: 搜索 类 型 扫描 。 

。 Scan SQL SERVER first: 首先 扫描 SQL Server。 

。 Scan all params not only the last one: 扫描 所 有 的 参数 而 不 只 是 最 后 一 个 。 如 果 


[Z Scan all params not only the last one. 
[C Extend scan mode 


图 5-11 扫描 配置 界面 


没有 勾 选 这 一 项 ,并 且 一 个 链接 中 有 多 个 参数 ,例如 http://192. 168. 31. 233: 
5000/info?id—18.sd— 1010 这 样 具有 多 个 参数 的 链接 ,那么 就 只 会 扫描 最 后 一 个 
参数 sd。 

。 Extend scan mode: 扩展 扫描 模式 。 

4. 高 级 配置 

Pangolin 还 可 以 进行 高 级 配置 ,如 图 5-12 所 示 。 


Replace spaceas |/"/ ~ 
[E Bypass firewall fiter when ‘select is not alow 


图 5-12 高 级 配置 


5.5 实战 演示 


551 演示 网 站 运行 指南 


1. 环境 安装 (Linux) 
(1) 安装 Python 2. 7 3X 3. 4 最 新 版 (Windows 下 将 Python 的 Scripts 目录 加 入 PATH). 
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(2) 执行 命令 安装 依赖 库 : pip install flask pymysql。 
(3) 安装 MySQL Server。 

(4) 创建 infos 表 。 

2. 运行 


CETT 


运行 命令 

python veb.py 

在 运行 这 个 命令 之 前 ,需要 完成 下 面 的 过 程 。 运 行 此 功能 ,测试 网 站 就 搭建 成 功 了 ， 
然后 就 可 以 进行 Pangolin 工具 的 使 用 演示 o 

(1) 创建 数据 库 : 


CREATE DATABASE 5j; 
(2) 在 sj 中 创建 表 : 


CREATE TABIE 'infos' ( 
'id' bigint (20) NOT NULL AUTO INCREMENT, 
mame' varchar (32) NOT NULL, 
"info' text NOT NULL, 
PRIMARY KEY ('id') 
B 


(3) 在 表 中 插入 需要 的 数据 。 
web. py 源码 如 下 : 


fram flask inport Flask, request, abort 
inport pymysql 


f user, passwd 和 中 b 应 该 为 测试 网 站 数据 库 的 用 户 名 、 密 码 和 数据 库 名 
do =pynysd .oomnect (host= '127.0.0.1', user- "root passsd- 112238", dr 'sj') 
app-Flask( name ) 


app. route ("/") 
def hello(): 
return "Hello World!" 


p=" 
«htm» 

<head> 

< /nead» 
<body> 
<hl>ss< /hl> 
«div» $s« /div> 
< /body» 

< hmb 


v 
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Qapp.route('/info') 

def info(): 

info id - request.args.get ('id') 
sql = 'select name, info fram infos where id-' +info id 
cur- db.cursor () 

cur.execute (sql) 

rst- aur.fetchall () 

aur.close() 

if len(rst) ==0: 

abort (404) 

print (rst [0]) 

retum tp $rst [0] 


if mae ==" main ": 

app.debug - True. 

app.run (host- '0.0.0.0") 
552 Pangdin SQ 注入 

(1) 在 URL 框 中 输入 带 参 数 的 网 址 ,例如 http://192. 168. 31. 233:5000/info?id=1 
(输入 待 测试 网 站 的 IP) ,输入 后 单 击 运行 按钮 ,如 图 5-13 所 示 。 

单 击 运行 按钮 
| 


| Pangolin - Amazing SQL Injection Wbrld -ex 


Pangolin 


Ld sue | 
图 5-13 开始 攻击 


(2) 运行 完成 后 ,会 获取 服务 器 和 数据 库 等 基本 信息 ,如 图 5-14 所 示 。 

G) 根据 想 要 获得 的 具体 信息 在 列表 中 色 选 ,再 进行 注入 。 此 处 全 选 后 单 击 Go( 运 
行 ) 按 钮 ,在 Information 里 面 会 显示 服务 .数据库 的 详细 信息 ,包括 版 本 、 数 据 库 名称 等 ， 
如 图 5-15 所 示 。 

(4) 单 击 下 面 的 Data 选项 卡 ,然后 单 击 顶 部 Table/Column 列表 项 ,会 显示 所 有 的 数 


tox 192.168.31,233 S000 fefond 1 [er E 
ma |] N J 


H5-14 运行 结果 


5.6.22 


root@172.17.42.1 
root@172.17.42.1 
root@172.17.42.1 


图 5-15 勾 选 所 需要 的 信息 


据 库 中 的 表 , 双 击 表 名 ,可 以 查看 表 中 的 字段 ,如 图 5-16 所 示 。 
O 勾 选 所 有 字段, 单 击 Datas 项 ,继续 运行 ,运行 结束 后 可 以 得 到 所 有 的 数据 ,如 


5-17 所 示 。 
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Hs 查看 数据 


(6) 单 击 下 面 的 File Reader 选项 卡 ,在 界面 中 单 击 Read 按钮 ,可 以 查看 文件 中 的 相 
关 信 息 , 如 图 5-18 所 示 。 


E wr i 
ma 局 L 日 


图 5-18 查看 文件 信息 


第 5 章 。 数据库 注入 渗透 测试 工具 rmh e^. 


(7) File Writer 可 以 向 服务 器 写 任何 脚本 或 者 其 他 东西 ,这 样 可 以 获取 更 多 信息 ,如 
5-19 所 示 。 


hai ee | 
me rm - ew 上 


irequre($ REQUEST[evi, fie patr]);echo "zwel has been here?» 


图 5-19 进行 写 操作 


5.6 本 章 小 结 


Pangolin 是 一 款 帮 助 渗透 测试 人 员 进 行 SQL 注入 测试 的 安全 工具 。 所 谓 的 SQL 注 
入 测试 就 是 利用 目标 网 站 的 某 个 页 面 缺 少 对 用 户 传递 参数 控制 或 者 控制 的 不 够 好 的 情况 
下 出 现 的 漏洞 ,从 而 达到 获取 、 修 改 、 删 除数 据 ,甚至 控制 数据 库 服务 器 .Web 服务 器 的 目 
的 的 测试 方法 。 

Pangolin 能 够 通过 一 系列 非常 简单 的 操作 达到 最 大 化 的 攻击 测试 效果 。 它 从 检测 注 
和 人 开始 到 最 后 控制 目标 系统 都 给 出 了 测试 步骤 。 过 去 有 许多 SQL 注入 工具 ,不 过 有 些 功 
能 不 完全 ,支持 的 数据 库 不 够 多 ,或 者 是 速度 比较 慢 。 但 是 ,在 Pangolin 发 布 以 后 ,这 些 
问题 都 得 到 了 解决 。Pangolin 也 许 是 目前 已 有 的 注入 工具 中 最 好 的 之 一 。 

Pangolin 使 SQL 注入 的 功能 最 大 化 。 针 对 每 种 数据 库 类 型 都 有 信息 获取 数据 获取 
两 项 基本 功能 。 除 此 之 外 ,还 包括 一 些 不 同 的 数据 库 的 特殊 应 用 。 如 MySQL 的 读 写 文 
件 操作 ,MSSQL 的 读 写 文件 操作 ,注册 表 读 取 、 系 统 命令 执行 ,Oracle 的 密码 破解 .IP 地 
址 信息 获取 (即使 是 在 内 网 通过 防火 墙 映射 的 都 可 以 ) ,甚至 还 包括 Access 数据 库 的 数据 
库 文件 路 径 、 磁 盘 信息 、 根 路 径 等 这 些 比 较 偏 的 信息 也 能 获取 。 
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Pangolin 可 以 供 不 同 人 员 使 用 : 


渗透 测试 人 员 用 于 发 现 目标 存在 的 漏洞 并 评估 漏洞 可 能 产生 后 果 的 严重 程度 。 
网 站 管理 员 可 以 用 于 对 自己 开发 的 代码 进行 安全 检测 从 而 进行 修补 。 
安全 技术 研究 人 员 能 够 通过 Pangolin 更 多 、 更 深入 地 理解 SQL 注入 的 技术 细节 。 


Pangolin 渗透 测试 工具 有 如 下 特点 : 


数据 库 全 ,基本 上 覆盖 目前 所 有 的 数据 库 类 型 。 

速度 快 。 应 用 了 联合 查询 语句 ,在 关闭 了 所 有 错误 提示 的 情况 下 也 能 迅速 获取 数 
据 , 而 绝 不 是 一 个 字母 一 个 字母 地 猜 解 ,Union 操作 极 大 地 提高 了 SQL 注入 操作 
速度 。 

功能 多 ,每 个 数据 库 类 型 都 会 对 应 几乎 最 大 化 的 功能 利用 。 

检查 方式 准确 。 独 创 的 自动 关键 字 分 析 能 够 减少 人 为 操作 且 使 判断 结果 更 准确 ， 
独创 的 内 容 大 小 判断 方法 能 够 减少 网 络 数据 流量 。 

预 登录 功能 ,在 需要 验证 的 情况 下 也 能 注入 。 

支持 代理 ,支持 HTTPS。 

自 定义 HTTP 标题 头 功能 ,包括 User-Agent 以 及 Cookie 等 信息 ,这 在 一 些 需要 
登录 的 网 站 且 存 在 验证 码 时 很 有 用 。 

丰富 的 绕 过 防火 墙 过 滤 功 能 。 

注入 站 (点 ) 管 理 功能 ,数据 导出 功能 。 


需要 注意 的 是 ,Pangolin 只 是 一 个 SQL 注入 验证 工具 ,不 是 一 个 Web 漏洞 扫描 软 
件 ,因此 不 能 用 它 来 做 整 网 站 的 扫描 。 另 外 ,Pangolin 也 不 支持 注入 目录 遍历 等 功能 ,这 
些 功能 可 以 借助 其 他 的 安全 工具 进行 。 


E 


简 述 SQL 注入 的 风险 与 原理 。 


2. 尝试 用 Pangolin 工具 进行 注入 攻击 。 
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安全 漏洞 检查 与 渗透 测试 工具 Metasploit 


6.1 Metasploit 简介 


Metasploit 是 近年 来 最 强大 、 最 流行 和 最 有 发 展 前 途 的 开源 渗透 测试 平台 软件 之 一 。 
它 是 一 款 开 源 的 安全 漏洞 检测 工具 ,同时 是 免费 的 工具 ,因此 安全 工作 人 员 常 用 Metasploit 
工具 来 检测 系统 的 安全 性 。Metasploit 从 2004 年 横 空 出 世 , 立 即 引 起 了 整个 安全 社区 的 高 
度 关注 ,作为 “黑马 ?很 快 就 排 进 安全 社区 流行 软件 的 五 强 之 列 。Metasploit Framework 
(MSF,Metasploit 框架 ) 是 可 以 自由 获取 的 开发 框架 。 它 是 一 个 强大 的 开源 平台 ,用 于 开发 、 
测试 和 使 用 恶意 代码 ,为 渗透 测试 .Shellcode 编写 和 漏洞 研究 提供 了 一 个 可 靠 的 平台 。 

Metasploit 目前 的 版 本 收集 了 数 百 个 可 使 用 的 溢出 攻击 程序 及 一 些 辅助 工具 ,让 人 
们 使 用 简单 的 方法 完成 漏洞 检测 ,即使 一 个 不 懂 安 全 技术 的 人 也 可 以 轻松 地 使 用 它 。 


611 Metasplat 的 特点 


这 种 可 以 扩展 的 模型 将 攻击 载荷 .编码 器 ,无 操作 生成 器 和 漏洞 整合 在 一 起 ,使 
Metasploit Framework 成 为 一 种 研究 高 危 漏洞 的 途径 。 它 集成 了 各 平台 上 常见 的 溢出 漏 
洞 和 流行 的 Shellcode, 并 且 不 断 更 新 ,使 得 缓冲 区 溢出 测试 变 得 方便 和 简单 。 最 新 版 本 
的 MSF 包含 了 750 多 种 流行 的 操作 系统 及 应 用 软件 的 漏洞 ,以 及 224 个 Shellcode。 作 
为 安全 工具 , 它 在 安全 检测 中 有 着 不 容 忽 视 的 作用 ,并 为 漏洞 自动 化 探测 和 及 时 检测 系统 
漏洞 提供 了 有 力 保障 。 


612 Metasplat 的 使 用 


Metasploit 框架 提供 了 4 种 不 同 的 用 户 接口 ,分别 是 msfconsole ,msflic .msfgui 及 
msfweb ,本 书 主要 介绍 和 演示 的 是 msfconsole, 因 为 Metasploit 为 msfconsole 提供 了 最 
好 的 支持 ,能 够 使 框架 功能 得 到 充分 发 挥 。 

Metasploit 渗透 的 一 般 过 程 如 下 : 

(1) 情报 搜集 。 

(2) 威胁 建 模 。 

(3) 漏洞 分 析 。 

(4) 渗透 攻击 。 

C) 后 渗透 攻击 。 

(6) 编写 报告 。 
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613 相关 专业 术语 


CD 渗透 攻击 (exploit)。 是 指 由 攻击 者 或 渗透 测试 者 利用 一 个 系统 、 应 用 或 者 服务 
中 的 安全 漏洞 所 进行 的 攻击 行为 。 攻 击 者 用 渗透 攻击 入 侵 系 统 时 ,往往 会 造成 开发 者 所 
没有 预期 的 一 种 特殊 结果 。 

(2) 渗透 测试 。 为 了 防止 渗透 攻击 ,企业 在 保护 关键 基础 设施 的 安全 计划 中 投入 了 
数 百 万 或 者 更 多 的 资金 来 找 出 防护 中 的 缝隙 ,防止 敏感 数据 外 泄 。 渗 透 测 试 就 是 能 够 识 
别 出 这 些 安全 计划 中 的 系统 弱点 与 不 足 之 处 的 一 种 最 为 有 效 的 技术 方式 。 通 过 尝试 挫败 
安全 控制 措施 并 绕 开 防御 机 制 ,渗透 测试 工程 师 能 够 找 出 攻击 者 可 能 攻陷 企业 安全 计划 
并 对 企业 带 来 严重 破坏 后 果 的 方法 。 

(3) 攻击 载荷 (payload) ,是 目标 系统 在 被 渗透 攻击 之 后 执行 的 代码 。 在 Metasploit 
框架 中 可 以 自由 地 选择 ,传送 和 植 人 攻击 载荷 。 

(4) Shellcode。 是 在 渗透 攻击 时 作为 攻击 载荷 的 一 组 机 器 指令 。Shellcode 一 般 是 
用 汇编 语言 写 的 。 大 多 数 情况 下 目标 系统 执行 了 Shellcode 这 组 指令 后 , 才 会 提供 一 个 命 
令 行 shell 或 者 Metasploit shell, 这 也 是 Shellcode 的 由 来 。 

(5) 模块 。 是 组 成 完整 系统 的 基本 构建 块 。 每 个 模块 执行 某 种 特定 的 任务 ,将 若干 
模块 组 合成 单独 的 功能 主体 可 构成 一 个 完整 的 系统 。 这 种 体系 结构 最 大 的 优势 在 于 开发 
人 员 可 以 很 容易 地 将 新 的 漏洞 利用 代码 和 工具 整合 到 Metasploit 框架 中 。 

(6) 监听 器 。 是 Metasploit 中 用 来 等 待 网 络 连接 的 组 件 。 举 例 来 说 ,在 目标 主机 被 
渗透 攻击 之 后 ,监听 器 可 能 会 通过 互联 网 连 回 到 攻击 主机 上 等 待 被 渗透 攻击 的 系统 来 连 
接 , 并 负责 处 理 这 些 网 络 连接 。 


6.2 Metasploit 安装 


621 在 Wndows 系 统 中 安装 Matasplat 


在 Windows 系统 中 安装 Metasploit 框架 非常 简单 ,安装 程序 可 以 从 Metasploit 官方 
网 站 (http://www. metasploit. com) 下 载 ,如 图 6-1 所 示 。 

安装 时 需要 注意 : 

(1) 安装 时 需要 关闭 杀毒 软件 ,否则 可 能 会 导致 杀毒 软件 和 Metasploit 冲突 ,使 安装 失败 。 

(2) 在 “控制 面板 ”>“ 区 域 和 语言 选项 ”中 选择 “英文 (美国 )”, 在 “高 级 ”选项 卡 中 选 
择 “ 英 文 (美国 )”。 安 装 的 时 候 会 进行 检测 ,如 果 属 于 非 英 文 地 区 会 导致 安装 失败 。 

G) 安装 成 功 后 进入 Web 图 形 用 户 界面 创建 一 个 账户 , 单 击 “ Register your 
Metasploit license here!” Ef ,选择 free edition 版 本 ,输入 接收 许可 (license) 的 邮箱 , 单 
击 OK 按钮 ,大 约 等 待 5 分 钟 后 进入 邮箱 得 到 许可 ,然后 再 激活 。 


622 在 Linx 系 统 安装 Matasplat 


从 Metasploit 官网 (http://www. metasploit. com) 下 载 页 面 根据 体系 结构 (32 位 或 
64 位 系统 ) 来 选择 下 载 完全 版 的 Linux 二 进 制 安装 包 , 然 后 运行 如 下 命令 ; 
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Wmetasploit b Ka iex i mA 


World's most used penetration testing software 


WY FREE METASPLOIT DOWNLOAD. 


Get free Nexpose Vulnerability Scanner 


Metasploit integrates with Nexpose to verify vulnerabilities 


6-1 FË Metasploit 


$ chmod +x framework- * - linux- full.nn 
$ sudo ./framework- * - linux- full.run 
$ hash -r 


Ruby 在 很 多 Linux 发 行 版 默认 安装 中 并 不 支持 ,因此 需要 安装 Ruby: 


$ sudo apt- get install nby 


623 Kai Linux 5 Maasplat 的 结合 


Kali Linux 是 基于 Debian 的 Linux 发 行 版 ,是 BackTrack 的 新 版 本 ,Kali Linux fii 
装 了 很 多 渗透 测试 软件 ,包括 Metasploit Frame Work, Nmap Cii O 494 88) , WireShark 
(数据 包 分 析 器 )、John the Ripper (密码 破解 器 ) 等 ,本 节 将 在 此 系统 的 基础 上 对 
Metasploit 进行 讲解 。 

可 以 在 主机 上 安装 独立 的 Kali Linux 系统 ,也 可 以 在 虚拟 机 上 安装 。 安 装 过 程 很 简 
单 ,与 安装 平时 用 到 的 Linux 操作 系统 一 样 (注意 网 络 连 接应 设置 为 桥接 方式 ) 。 

安装 好 Kali Linux 之 后 需要 对 网 络 进行 配置 ,步骤 如 下 。 

(1) 进入 根 目录 : 


Vi /etc/NetworkManager/NetworkManager .conf 


将 false 改 为 true, 这 个 配置 让 NetworkManager 能 够 识别 机 器 的 网 卡 接口 。 

(2) 使 用 命令 vi /etc/network/interface 查看 是 否 只 有 一 个 loopback, 假 如 不 是 ,将 
其 他 的 loopback 删除 。 

依照 Kali Linux 网 络 服务 策略 , 它 没有 自动 启动 的 网 络 服务 ,包括 数据 库 服务 在 内 。 
所 以 为 了 让 Metasploit 以 支持 数据 库 的 方式 运行 ,要 执行 一 些 必 要 的 步 又， 

(1) 启动 Kali Linux 的 PostgreSQL 服务 。Metasploit 使 用 PostgreSQL 作为 数据 
库 , 所 以 必须 先 运行 service postgresql start。 可 以 用 ss -ant 的 输出 来 检验 PostgreSQL 
是 否 在 运行 ,然后 确认 5432 端口 是 否 处 于 listening( 监 听 ) 状 态 ,如 图 6-2 所 示 。 

(2) 启动 Kali Linux 的 Metasploit 服务 。 随 着 PostgreSQL 的 启动 和 运行 ,接着 运行 
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6-2 启动 数据 库 


Metasploit 服务 。 第 一 次 运行 服务 会 创建 一 个 名 为 msf3 的 数据 库 用 户 和 一 个 名 为 msf3 的 数 
据 库 。 还 会 运行 Metasploit RPC 和 它 需要 的 Web 服务 端 。 输 入 命令 service metasploit start. 
如 图 6-3 所 示 。 


onfiguring M 
reating metasploit catabase use 
reating metasploit catab 
insserv: warnir urrent r 1 script "metasploi-' overr 
ides LSB defaults (2 y 
insser arning: current stop rur 1 123 6) of script ‘me-asploit 
overrides LSB default 1€ 
Starting Metasploit rp 
tarting Metasploit 
Starting Metasploit w 


图 6-3 启动 Metasploit 服务 


(3) Æ Kali Linux 运行 msfconsole。 现 在 PostgreSQL 和 Metasploit 服务 都 运行 了 ， 
输入 msfconsole 启动 Metasploit, 这 里 需要 等 待 几 分 钟 ,然后 用 db status postgresql 
connected to msf3 命令 检验 数据 库 的 连通 性 。 

(4) 配置 Metasploit 随 系统 启动 运行 。 如 果 想 让 PostgreSQL 和 Metasploit 在 开机 
时 运行 ,可 以 使 用 update-rc. d 启用 服务 : 


update- rc.d postgresql enable/update- rc.d metasploit enable 


当然 也 可 以 在 Applications 进入 msfconsole, 启 动 路 径 为 Applications Kali Linux 
Exploitation Tools Metasploit-metasploit framework ,如 图 6-4 所 示 o 
Applications Place > Fri Mar 13, 1:41 PM 
站 
机 Electronics 
F Graphics 


i Hamrado - 
e WM Top 10 Security Tools 
Internet 》 


ia ix lO. information Gathering 
li office » "ig Vulnerability Analysis 
gf Programming ] So Web Applications 
Wi Sound & Video > ef Password Attacks 
C) System Tools » Ú Wireless Attacks 
Q Unversal Access H Exploitation Toos e| 4 BeEF XSS Framework 
& other » GÀ Snfmgspoofng VÀ Cisco Attacks 
{À Maintaining Access Ad Exploit Database 
S Reverse Engineering Ab Exploit Development Tools 
A, metasploit community / pro 
NÀ metasploit diagnostic Logs 4 Network Exploitation 


us ngineering Toolkit 


> 


图 6-4 启动 Metasploit 
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6.3 Metasploit 信息 搜集 


在 本 节 中 ,将 讨论 渗透 测试 中 的 第 二 个 阶段 一 一 信息 搜集 。 这 里 会 介绍 Kali Linux 
中 的 一 系列 信息 搜集 工具 。 在 阅读 本 节 之 后 ,希望 能 对 信息 搜集 有 更 好 的 理解 。 在 这 个 
阶段 需要 尽 可 能 多 地 搜集 目标 的 信息 ,例如 域名 的 信息 .DNS、IP、 使 用 的 技术 和 配置 文 
件 、 联 系 方式 等 等 。 在 信息 搜集 过 程 中 ,每 一 个 信息 都 是 重要 的 。 

信息 搜集 的 方式 可 以 分 为 两 种 : 主动 和 被 动 。 主 动 的 信息 搜集 方式 有 通过 直接 访问 
和 扫描 网 站 这 种 有 流量 流 经 网 站 的 行为 。 被 动 的 信息 搜集 方式 为 利用 第 三 方 的 服务 对 目 
标 进行 访问 了 解 ,例如 Google 搜索 。 


631 被 动 式 信息 搜集 


whois, dig 和 nslookup 是 获取 目标 初始 信息 的 3 个 最 基本 .最 简单 的 步骤 ,这 些 命令 
都 属于 被 动 式 信息 搜集 技术 ,因此 不 需要 建立 与 目标 机 器 的 任何 连接 。 这 些 命令 可 以 直 
接 在 Kali Linux 终端 执行 。 

whois 能 够 获取 关于 服务 器 的 DNS 服务 器 信息 和 域名 注册 基本 信息 。 这 些 信 息 在 
以 后 的 测试 阶段 中 有 可 能 会 发 挥 重大 的 作用 ,如 图 6-5 Bron 


entUpdateProhibit 


6-5 whois 的 使 用 


简单 的 whois 查询 到 目标 Web 网 站 的 很 多 相关 信息 ,包括 DNS 服务 器 ,创建 日 期 和 
过 期 日 期 等 。 由 于 这 些 信息 是 从 第 三 方 而 非 从 目标 获取 的 ,因此 称 之 为 被 动 式 信息 搜集 
技术 。 

另外 一 种 被 动 式 获 取信 息 的 方式 是 查询 DNS 记录 ,最 常见 的 是 使 用 dig 命令 ,这 条 
命令 在 Kali Linux 上 默认 包含 ,下 面 是 对 demo. testfire. net 的 dig 查询 ,如 图 6-6 所 示 。 

dig 命令 可 用 于 实现 主机 名 和 IP 地 址 之 间 的 双向 解析 。 此 外 ,dig 命令 也 可 以 用 于 
从 服务 器 上 搜集 版 本 信息 ,这些 信 息 对 于 目标 主机 的 攻击 渗透 可 以 起 到 一 定 的 辅助 作用 。 
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6-6 dig 的 使 用 


识别 主 DNS 服务 器 (或 者 有 些 情况 下 需要 识别 主 邮 件 服 务 器 或 托管 服务 器 ) 具 有 一 
定 的 难度 ,这 时 就 需要 使 用 nslookup 命令 。nslookup 命令 几乎 和 dig 命令 一 样 灵活 ,但 
默认 提供 了 用 于 识别 主 服务 器 的 更 简单 的 方法 ,例如 识别 邮件 服务 器 或 者 DNS 服务 器 ， 
如 图 6-7 所 示 。 


msf > nslookup demo. 
exec: nslookup 


erver: 


图 6-7 nslookup 的 使 用 


可 以 看 到 nslookup 命令 展示 了 与 目标 相关 的 进一步 信息 ,例如 IP 地 址 .服务 器 IP 
等 内 容 。 这 些 被 动 式 信息 搜集 技术 都 展示 了 一 些 与 目标 相关 的 信息 ,为 渗透 工具 提供 了 
便利 。 


632 端口 扫描 器 Nrep 


端口 扫描 是 一 种 主动 式 信息 搜集 技术 ,可 以 对 目标 直接 进行 操作 。 端 口 扫描 包含 了 
对 目标 机 器 更 深度 的 搜索 。 对 安全 专业 人 员 而 言 ,Nmap 是 最 强大 、 最 受 欢 迎 的 扫描 器 ， 
其 使 用 方式 也 包括 从 初级 到 高 级 多 个 层次 。 

在 Metasploit 中 启动 Nmap 很 容易 ,在 MSF 控制 台 直 接 输入 nmap, 就 可 以 显示 
Nmap 提供 的 扫描 选项 列表 。 

扫描 目的 主机 防火 墙 是 否 关 闭 的 结果 如 图 6-8 所 示 , 没 有 开设 防火 墙 的 ,8080 端口 
关闭 (closed ports) ;开设 防火 墙 的 ,997 个 端口 被 过 滤 (filtered ports). 

Nmap 提供 了 很 多 针对 目标 的 不 同 扫描 方式 ,本 节 只 分 析 4 种 不 同类 型 的 Nmap 扫 
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Nmap done: 1 IP address (1 上 


图 6-8 Nmap 无 参 使 用 


描 方式 : TCP 连接 扫描 ,SYN stealth Af UDP 扫描 及 ACK 扫描 。 在 一 次 扫描 中 可 以 
结合 使 用 多 个 不 同 的 扫描 选项 ,以 便 对 目标 进行 更 高 级 、 更 复杂 的 扫描 。 

TCP 连接 扫描 (用 参数 -sT 表示 ) 是 最 基本 的 ,也 是 Nmap 默认 使 用 的 扫描 类 型 ,遵循 
TCP 协议 三 次 握手 过 程 ,并 以 此 检测 目标 机 器 上 开放 的 端口 。 格 式 为 : nmap -sT IP 地 
址 或 者 域名 ,如 图 6-9 所 示 。 


图 6-9 -sT 参 数 


从 结果 可 以 看 到 ,这 种 扫描 方式 传递 了 -sT 参数 ,该 参数 表明 了 要 进行 的 扫描 是 TCP 
连接 扫描 。-p 参数 定义 了 要 扫描 的 端口 范围 。 由 于 TCP 连接 扫描 以 三 次 握手 为 依据 ， 
- 般 认 为 其 扫描 结果 是 准确 的 。 
SYN 扫描 (用 参数 -sS 表示 ) 被 视 为 一 种 隐蔽 的 扫描 技术 ,因为 不 需要 在 目标 和 扫描 
机 器 之 间 建 立 完全 的 连接 ,因此 也 称 为 半 开 扫描 ,如 图 6-10 所 示 。 


6-10 -sS 参数 


-SS 参数 表明 Nmap 要 对 目标 进行 SYN Ati. TCP 连接 扫描 与 SYN 扫描 这 两 种 扫 
描 方式 在 大 多 数 情 况 下 是 类 似 的 ,唯一 的 区 别 在 于 SYN 扫描 更 不 容易 被 防火 墙 和 被 入 
侵 的 系统 所 发 现 ,不 过 现在 的 防火 墙 已 足以 检测 出 SYN 扫描 。 

UDP 扫描 (用 参数 -sU 表示 ) 是 用 于 识别 目标 中 开放 的 UDP 端口 的 扫描 技术 ,向 目 
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标 发 送 0 字 节 的 UDP 数据 包 , 如 果 返 回 的 是 ICMP 端口 不 可 达 信 息 ,就 表明 端口 是 关闭 
的 ,否则 就 可 以 判断 端口 是 开放 的 ,如 图 6-11 所 示 。 


611 -sU 参数 


ACK 扫描 (用 参数 -sA 表示 ) 是 一 种 比较 特别 的 扫描 类 型 ,可 以 判断 端口 是 否 被 防火 
墙 过 滤 。ACK 扫描 通过 向 远程 端口 发 送 TCP ACK 数据 帧 可 实现 。 如 果 目 标 没有 响应 ， 
可 以 判断 是 被 过 滤 过 的 端口 ;如 果 目 标 返回 的 是 RST( 连 接 重 置 ) 数 据 包 , 则 可 以 判断 该 
端口 没 被 过 滤 过 ,如 图 6-12 所 示 。 


图 6-12 -sA 参数 


图 6-12 展示 的 是 对 目标 进行 ACK 扫描 的 结果 ,从 结果 可 以 看 出 ,所 有 端口 都 未 被 过 
滤 。 这 些 信息 有 助 于 寻找 到 目标 中 提 vage unico di iue 
率 更 高 。 

除了 一 般 的 端口 扫描 之 外 ,Nmap 还 提供 了 一 些 高 级 选项 ,有 助 于 获取 更 多 关于 ee 
的 信息 。 其 中 应 用 最 广泛 的 选项 是 -0, 可 用 于 判断 目标 主机 的 操 5-13 
所 示 。 


e we could not find at least 


613 -0 参数 
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从 结果 可 以 看 到 ,Nmap 成 功 检测 出 目标 机 器 的 操作 系统 类 型 。 根 据 操作 系统 类 型 
可 以 更 容易 找到 合适 的 攻击 代码 。 


633 辅助 模块 


辅助 模块 是 Metasploit 框架 的 内 置 模块 ,有 助 于 执行 各 种 类 型 的 任务 。 辅 助 模块 与 
攻击 代码 不 同 , 它 运行 在 渗透 测试 人 员 的 机 器 上 ,并 且 不 提供 shell。Metasploit 框架 中 
提供 了 350 多 个 不 同 的 辅助 模块 ,每 个 都 可 以 执行 一 些 特定 任务 ,这 里 只 讨论 扫描 器 辅助 
模块 的 用 法 。 
要 使 用 辅助 模块 ,只 需要 简单 的 步骤 。 
) 激活 模块 : 使 用 use 命令 将 特定 模块 设置 为 等 待 执行 命令 的 活跃 状态 。 

(2) 设置 规范 : 使 用 set 命令 设置 该 模块 执行 所 需要 的 不 同 参数 。 

G) 运行 模块 : 完成 前 两 个 步骤 后 ,使 用 run 命令 最 终 执行 该 模块 并 生成 相应 结果 。 
首先 启动 msfconsole 会 话 , 再 搜索 一 下 有 哪些 可 用 的 端口 扫描 模块 ,如 图 6-14 所 示 。 


ormal Wi 


Yormal 


iormal 


normal FT] 


normal TC 


vrmal TC 


vrmal TC 


Vormal SA 


图 6-14 使 用 search 搜索 模块 


从 图 6-14 可 以 看 到 可 用 扫描 器 列表 ,其 中 包含 了 前 面 讨论 过 的 基本 扫描 类 型 。 下 面 
从 简单 的 SYN 扫描 开始 。 
通过 图 6-15 所 示 的 use 命令 激活 模块 。 


图 6-15 使 用 use 激活 模块 


使 用 show options 命令 查看 哪些 参数 是 必需 的 ,如 图 6-16 所 示 。 

结果 的 第 一 列 给 出 了 该 模块 所 需 的 参数 。Required 列 中 的 参数 是 yes 的 表示 该 参数 
必须 是 实际 的 值 。 RHOSTS 表示 待 扫描 的 IP 地 址 范围 ,需要 将 其 设置 为 扫描 的 TP 地 
址 ,如 图 6-17 所 示 。 

使 用 set 命令 还 可 以 修改 其 他 值 ,例如 修改 端口 范围 等 。 最 后 运行 该 模块 ,执行 相应 
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ion completed 
图 6-18 使 用 run 执行 模块 
在 辅助 模块 中 设置 和 管理 一 定数 量 的 线程 ,可 以 极 大 地 增强 辅助 模块 的 性 能 。 在 需 
要 对 整个 网 络 或 某 个 IP 地 址 范围 进行 扫描 时 ,可 以 提高 线程 数量 ,使 得 扫描 过 程 更 快 。 
如 图 6-19 所 示 。 


图 6-19 设置 线程 数 


634 避免 杀毒 软件 的 检测 


避免 被 查 杀 的 最 佳 方法 之 一 是 使 用 MSF 编码 器 (msfencode) 对 攻击 载荷 文件 进行 重 
新 编码 。MSF 编码 器 是 一 个 非常 实用 的 工具 , 它 能 够 改变 文件 中 的 代码 形状 ,让 杀毒 软 
件 认 不 出 它 原 来 的 样子 ,而 程序 功能 不 会 受到 任何 影响 。MSF 编码 器 将 原始 的 可 执行 程 
序 重 新 编码 ,生成 一 个 新 的 二 进 制 文件 。 当 这 个 文件 运行 后 ,MSF 编码 器 会 将 原始 程序 
解码 到 内 存 中 并 执行 。 
可 以 使 用 msfencode -h 命令 查看 MSF 编码 器 的 各 种 参数 ,它们 当中 最 为 重要 的 是 
与 编码 格式 有 关 的 参数 ,如 图 6-20 所 示 。 可 以 使 用 msfencode -1 列 出 所 有 可 用 的 编码 格 
式 。 注 意 ,不 同 的 编码 格式 适用 于 不 同 的 操作 系统 平台 。 

现在 演示 如 何 对 MSF 攻击 载荷 进行 编码 ,将 msfpayload 生成 的 原始 数据 输入 到 
msfencode 中 ,如 图 6-21 和 图 6-22 所 示 。 
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622 编码 成 功 


在 msfpayload 命令 后 的 R 标志 表示 输出 原始 数据 ,因为 需要 把 原始 数据 直接 通过 管 
道 输入 到 msfencode 命令 中 ,指定 使 用 x86/shikata ga nai 编码 器 ,并 告诉 MSF 编码 器 
输出 格式 为 exe(-t exe) ,输出 的 文件 名 为 opt/payload2. exe。 最 后 ,对 生成 的 文件 进行 快 
速 类 型 查询 ,确保 是 Windows 可 执行 文件 格式 。 

将 payload2. exe 文件 复制 到 Windows 主机 上 后 ,可 能 还 是 逃 不 过 防 病毒 软件 的 检 
测 。 如 果 不 是 对 二 进 制 文件 内 部 机 制 进行 修改 ,msfencodn 和 杀毒 软件 之 间 总 是 像 在 玩 

-个 猫 捉 老 鼠 的 游戏 ,msfencode 不 断 对 文件 进行 编码 ,而 杀毒 软件 会 经 常 性 地 更 新 病毒 

库 , 从 而 能 轻松 检测 出 编码 后 的 文件 。 在 Metasploit 框架 中 ,可 以 使 用 多 重 编码 技术 来 改 
善 这 种 状况 ,这 种 技术 允许 对 攻击 载荷 文件 进行 多 次 编码 , 以 绕 过 杀毒 软件 的 特征 码 
Ud. 

在 进行 渗透 测试 之 前 ,可 以 安装 一 个 杀毒 软件 对 脚本 生成 的 文件 进行 检测 ,以 确保 不 
被 检测 到 。 图 6-23 和 图 6-24 是 一 个 使 用 了 多 重 编码 的 例子 。 


6-23 多重 编码 


使 用 了 5 次 shikata_ga_nai 编码 ,将 编码 后 的 原始 数据 进行 两 次 alpha_upper 编码 ， 
然后 再 进行 5 次 shikata ga nai 编码 ,接着 进行 5 次 countdown 编码 ,最 后 生成 可 执行 文 
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图 6-24 ”编码 成 功 
件 格 式 。 为 了 进行 免 杀 处 理 , 这 里 对 攻击 载荷 一 共 执 行 了 17 次 编码 。 
635 使 用 killavrb 脚 本 禁用 防 病毒 软件 


如 果 在 目标 系统 中 下 载 文件 ,或 在 其 中 安装 键盘 记录 程序 等 ,将 引发 病毒 警告 。 因 此 
建立 到 目标 系统 的 会 话 之 后 ,下 一 个 步骤 就 是 禁用 防 病毒 软件 

首先 进入 meterpreter 会 话 (可 仿照 6.4. 4 节 全 端口 攻击 载荷 : 暴力 猜 解 目标 开放 的 
端口 进入 meterpreter 会 话 ,关于 meterpreter 将 在 6. 5 节 有 更 详细 的 讲解 ) 执 行 getuid (i 
令 获 得 目标 系统 的 用 户 名 ,如 图 6-25 所 示 。 如 不 具备 管理 员 权 限 ,使 用 getsystem 命令 
尝试 从 普通 用 户 提 权限 升 到 管理 员 


625 ”获取 目标 系统 用 户 名 


接 下 来 使 用 ps 命令 列 出 目标 系统 中 运行 的 所 有 进程 ,以 便 确定 哪些 进程 实际 上 控制 
着 目标 系统 中 运行 的 防 病毒 软件 ,如 图 6-26 和 图 6-27 所 示 。 

从 上 面 的 Name 和 Path 列 中 很 容易 识别 出 属于 防 病 毒 软件 实例 的 进程 。 接 下 来 介 

绍 怎样 使 用 Metasploit 禁止 这 些 进 程 。 

meterpreter 提供 了 一 个 非常 有 用 的 killav. rb 脚本 ,执行 脚本 后 可 以 再 次 对 系统 中 
运行 的 进程 进行 检查 ,以 便 确认 是 否 将 所 有 防 病 毒 软件 进程 都 已 成 功 禁止 ,如 图 6-28 
所 示 。 

run 命令 用 于 在 meterpreter 中 执行 Ruby 脚本 ,脚本 执行 后 ,可 以 再 次 对 系统 中 运行 
的 进程 进行 检查 ,以 便 确 认 是 否 所 有 防 病毒 软件 进程 都 已 经 成 功 禁止 。 如 果 防 病毒 软件 
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6-28 ”执行 killav. rb 脚本 


进程 都 不 再 列 出 , 则 意味 着 防 病毒 软件 已 经 在 目标 机 器 上 临时 禁用 ,可 以 相对 安全 地 开始 
下 一 步 的 渗透 工作 。 

如 果 这 些 进 程 还 在 怎么 办 ? 下 而 介绍 相应 的 解决 方案 。 

造成 这 种 情况 有 两 种 可 能 原因 ,其 一 是 killav. rb 脚本 列表 中 没有 列 出 这 些 防 病毒 软 
件 进程 ,其 二 是 这 些 防 病毒 服务 是 以 服务 而 非 进 程 的 方式 运行 的 。 

接 下 来 看 一 下 killav. rb 脚本 的 具体 内 容 。 首 先 打开 一 个 新 的 终端 窗口 ,切换 到 / 


user/share/metasploit-framework/scripts/meterpreter 目录 ,如 图 6-29 所 示 。 


图 6-29 编辑 killav. rb 脚本 


vim 是 UNIX 中 的 一 个 快速 编辑 器 ,使 用 vim 命令 在 屏幕 上 打开 整个 脚本 ,向 下 翻动 
可 以 看 到 脚本 列 出 的 各 种 进程 ,这 些 进程 是 该 脚本 寻找 并 尝试 禁止 的 进程 。 检 查 整个 列 
表 , 查 看 其 中 是 否 包 含 要 禁止 的 进程 ,如 果 不 包含 ,在 列表 中 增加 此 进程 。 进 入 vim 的 编 
辑 模式 ,需要 在 键盘 上 按 i 键 进入 到 插入 模式 ,编辑 好 后 按键 盘 的 Esc 键 退 出 编辑 模式 ， 
输入 :wd 后 按 回 车 键 ,保存 并 关闭 脚本 ,如 图 6-30 所 示 。 

回 到 meterpreter 会 话 , 再 次 执行 killav. rb 脚本 。 

从 结果 可 以 看 到 ,该 脚本 已 成 功 地 杀 掉 了 防 病毒 进程 ,为 确认 是 否 已 经 成 功 禁 止 了 这 
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图 6-30 killav. rb 脚本 内 容 


些 病毒 软件 进程 ,再 次 执行 ps 命令 进行 检查 。 若 已 经 不 存在 防 病毒 软件 的 活跃 进程 ,这 
表明 该 脚本 成 功 地 禁用 了 所 有 的 防 病毒 软件 。 

下 面 简单 介绍 一 下 killav. rb 脚本 ,该 脚本 以 数组 的 形式 包含 了 一 个 完整 的 进程 列 
表 。 该 脚本 根据 该 数组 中 包含 的 进程 在 目标 机 器 上 进行 搜索 ,匹配 到 相应 进程 以 后 就 用 
process. kill 函数 禁止 该 进程 。 该 循环 会 一 直 进行 ,直到 数组 中 的 所 有 元 素 与 目标 系统 中 
可 用 进程 匹配 完毕 ,如 图 6-31 所 示 。 


图 6-31 process. kill 函数 禁止 进程 


6.4 Metasploit 渗透 


6.3 节 中 着 重 介绍 了 对 目标 机 器 的 信息 搜集 ,包括 目标 IP 地 址 开放 端口 .可 用 服务 
等 各 种 类 型 信息 ,其 中 最 重要 的 是 目标 服务 器 或 系统 使 用 的 操作 系统 相关 信息 ,这 些 信息 
有 助 于 快速 发 现 目标 操作 系统 中 存在 的 漏洞 和 相应 的 漏洞 易 用 代码 ,当然 实际 过 程 可 能 
没有 那么 简单 直接 ,如 果 掌 握 与 操作 系统 相关 的 信息 ,可 以 很 大 程度 上 让 这 些 任务 变 得 更 

每 种 操作 系统 都 会 存在 各 种 软件 缺陷 ,一 旦 这 些 软件 缺陷 被 公布 出 去 ,就 会 产生 针对 
这 些 软件 缺陷 的 攻击 代码 。 像 Windows 这 种 有 版 权 的 操作 系统 ,会 快速 开发 针对 这 些 软 
件 缺 陷 或 者 漏洞 的 补丁 ,并 为 用 户 提供 更 新 。 未 打 补丁 的 操作 系统 对 黑客 而 言 就 是 避风 
港 , 黑 客 可 以 立即 发 起 攻击 。 所 以 ,定期 对 操作 系统 进行 打 补 丁 和 更 新 是 很 重要 的 。 
本 节 介 绍 的 内 容 是 利用 操作 系统 漏洞 对 目标 进行 渗透 的 第 一 步 ,了 解 怎样 使 用 漏洞 
利用 代码 及 设置 参数 ,以 便 其 在 目标 机 器 上 正确 地 运行 。 最 后 讨论 Metasploit 中 某 些 有 
的 攻击 载荷 。 
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641 egat 用 法 


在 对 目标 机 器 使 用 漏洞 利用 代码 和 攻击 载荷 之 前 , 先 学 习 一 下 漏洞 利用 代码 和 参数 
设置 的 一 些 基本 知识 。 

下 面 列 出 了 使 用 exploit 时 的 一 些 常用 命令 : 

(1) show exploits, 用 于 展示 Metasploit 目录 中 所 有 可 用 的 漏洞 利用 代码 ,如 图 6-32 所 示 。 


6-32 show exploits 命令 


(2) search, 用 于 搜索 某 个 特定 的 漏洞 利用 代码 ,也 可 以 搜索 特定 选项 ,如 图 6-33 
所 示 。 


图 6-33 search 命令 


(3) use exploit, 将 任意 exploit 设置 为 活跃 状态 或 者 待 用 状态 ,该 命令 执行 后 ,命令 
行 提示 符 将 会 切换 为 exploit 类 型 ,如 图 6-34 所 示 。 


6-34 use exploit 命令 


(4) show options, 查 看 当前 使 用 的 exploit 的 可 用 选项 或 者 参数 ,参数 包括 主机 TP 
地 址 等 ,其 中 标记 为 yes 的 参数 必须 设置 相应 的 值 以 便 有 效 执行 该 漏洞 利用 代码 ,如 
图 6-35 所 示 。 
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6-35 show options 命令 


(5) set, 用 于 为 当前 使 用 的 exploit 中 的 某 个 参数 设置 具体 值 。 相 应 地 可 以 使 用 
unset 命令 取消 对 某 个 参数 的 设置 ,如 图 6-36 所 示 。 


6-36 set 命令 


还 有 两 条 可 选 的 命令 : setg 和 unsetg 命令 ,用 于 在 msfconsole 中 设置 全 局 性 的 参数 
值 ,从 而 减少 相同 值 的 输入 工作 
(6) show targets, 展 示 该 exploit 可 攻击 的 系统 目标 ,如 图 6-37 所 示 


Id Name 


图 6-37 show targets 命令 


642 第 一 次 渗透 测试 

读者 至 此 已 经 了 解 了 渗透 攻击 的 基础 知识 ,也 知道 了 如 何在 MSF 中 进行 参数 设置 ， 
下 面 通过 实践 来 加 深 印 象 ,开始 之 前 先 启动 Windows XP 虚拟 机 作为 对 机 。 先 看 看 不 依 
赖 漏洞 扫描 如 何 用 手工 方法 来 发 现 这 个 漏洞 。 

随 着 渗透 测试 技能 的 提升 ， e - 些 特定 的 端口 后 ,就 能 不 假 思 索 地 联想 到 如 何 利用 
相应 的 服务 器 漏洞 展开 攻击 。 手 工 进行 漏洞 检查 的 最 佳 途径 之 一 是 在 Metasploit 中 使 用 
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Nmap 的 扫描 脚本 ,如 图 6-38 和 图 6-39 所 示 。 


? run 


isafezl' to run 


script-args-unsafe-l' t 


图 6-39 Nmap 扫描 结果 信息 的 结尾 部 分 


-sT 是 指 TCP 连接 扫描 ,在 实践 中 发 现 使 用 这 个 参数 进行 端口 枚 举 最 可 靠 。-A 是 
指 高 级 操作 系统 探测 功能 ,能 够 提供 更 多 信息 。 

在 Nmap 扫描 结果 报告 中 发 现 了 MS08-067 , MS06-025, MS07-029, 
以 对 这 台 主 机 进行 攻击 ,尝试 一 下 对 MS08-067 进行 攻击 。 基 于 上 


标 操作 系统 为 Windows XP SP2 或 者 SP3, 假 定 六 


这 暗示 或 许可 
- 面 的 Nmap 扫描 结果 ， 
行 的 是 Windows XP SP3 


接 下 来 选择 可 用 于 Windows XP 的 漏洞 利用 代码 ,用 户 可 
目录 ,也 可 以 简单 地 搜索 有 哪些 可 用 于 Windows XP 的 漏洞 利 


以 浏览 /exploits/window 


用 代码 ,如 图 6-40 所 示 。 


图 6-40 搜索 漏洞 利用 代码 
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将 exploit/windows/smb/ms08_067_dcom 设置 为 可 用 的 漏洞 利用 代码 ,可 执行 如 
图 6-41 所 示 的 命令 。 


6-41 使 用 漏洞 利用 代码 


命令 行 提 示 符 改变 表示 该 命令 已 执行 成 功 。 
接 下 来 使 用 攻击 载荷 windows/meterpreter/reverse_tcp, 如 图 6-42 所 示 。 


s/meterpreter/reverse tcF 


642 ”使 用 攻击 载荷 


下 一 步 为 该 渗透 利用 代码 设置 必要 的 参数 ,show options 命令 可 以 列 出 该 漏洞 利用 
代码 的 可 用 参数 ,其 中 一 些 参数 有 默认 值 。 通 过 set LHOST 命令 设置 反 向 连接 地 址 为 攻 
il; IP, 通 过 set LPORT 命令 设置 攻击 目标 的 TCP 端口 (设置 LPORT 参数 时 ,最 好 使 用 

-个 自己 觉得 防火 墙 一 般 会 允许 通行 的 端口 ,例如 443、80、53、8080 等 )。 最 后 使 用 show 
options 命令 查看 执行 结果 ,如 图 6-43、 图 6-44 和 图 6-45 所 示 。 


图 6-43 show options 


644 设置 参数 


show targets 命令 列 出 了 这 个 特定 漏洞 渗透 攻击 模块 所 有 可 用 的 目标 系统 版 本 , 手 
动 指定 目标 版 本 以 确保 触发 正确 的 溢出 代码 。 基 于 上 面 的 Nmap 扫描 结果 假设 目标 系统 
为 Windows XP SP3 ,这 里 选择 Windows XP SP3 Chinese - Simplified (NX), 如 图 6-46 
和 图 6-47 所 示 。 
攻击 载荷 已 经 设置 成 功 ,下 面 对 目 标 机 器 进行 渗透 ,使 用 exploit 命令 运行 漏洞 利用 
代码 ,如 图 6-48 和 图 6-49 所 示 。 
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图 6-45 查看 参数 


targets: 


Id Name 


图 6-46 show targets 命令 


thread, p| 


图 6-47 set TARGET 命令 


图 6-48 执行 攻击 渗透 


使 用 exploit 命令 初始 化 攻击 环境 ,并 开始 对 目标 进行 攻击 尝试 ， 


返 


me 


转 到 命令 提示 符 状态 下 。 最 后 输入 shell 命令 进入 到 目标 系统 的 交互 


此 已 经 攻陷 了 一 台 主 机 。 


可 了 一 个 reverse tcp 方式 的 meterpreter 攻击 载荷 会 话 。 此 时 已 经 进入 到 了 
tasploit 的 交互 shell 中 。 如 果 控 制 会 话 是 一 个 反 向 连接 命令 行 shell, 这 个 命令 会 直接 


这 次 攻击 是 成 功 的 ， 


命令 行 shell 中 。 至 


«€» 
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6-49 shell 进行 反 向 链接 


643 ”Wndows 7Server 208 R SVB 客 户 端 无 限 循环 漏洞 


针对 Windows 7 和 Windows Server 2008 的 漏洞 利用 代码 比较 少 ,SMB 客户 端 无 限 
循环 漏洞 是 其 中 的 一 项 ,可 以 导致 目标 系统 崩溃 。 

Windows 7 和 Windows Server 2008 的 SMB 客户 端 中 存在 漏洞 ,间接 攻击 者 和 远程 
SMB 服务 器 可 以 利用 SMBv1 或 者 SMBv2 相应 数据 包产 生 拒绝 服务 (无 限 循 环 和 系统 挂 
起 ) 。 该 数据 包 的 NetBIOS 头 部 或 末端 长 度 字 段 中 包含 不 正确 的 长 度 值 , 是 导致 该 漏洞 
的 主要 原因 。 

Metasploit 中 包含 辅助 模块 auxiliary/dos/windows/smb/ms. 10. 006 negotiate _ 
loop ,可 用 于 对 SMB 服务 器 进行 攻击 渗透 ,并 导致 拒绝 服务 ,其 攻击 方法 是 将 UNC 路 径 
传递 给 Web 页 面 , 并 导致 目标 用 户 执行 ,用 户 打开 共享 文件 后 ,目标 系统 将 完全 崩溃 ,只 
能 重启 恢复 。 

要 使 用 该 辅助 模块 ,需要 使 用 use 命令 ,并 以 该 模块 路 径 为 参数 ,然后 设置 必需 的 参 
数 并 执行 该 模块 ,可 执行 图 6-50 和 图 6-51 所 示 的 步 又。 


1. This must bel 


6-51 show options 命令 


实际 上 唯一 需要 更 改 的 参数 是 SRVHOST ,该 参数 需要 设置 为 渗透 攻击 人 员 的 机 器 
IP 地 址 ,如 图 6-52 所 示 。 


6-52 ”设置 参数 


使 用 run 命令 执行 该 辅助 模块 ,该 辅助 模块 执行 后 ,会 生成 一 个 共享 文件 并 且 将 该 链 
接 发 给 目标 用 户 , 本 例 中 生成 的 链接 为 \\192. 168. 180. 128\Shared\Anything, 如 图 6-53 
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所 示 。 


6-53 run 执行 模块 


还 可 以 伪造 一 个 网 页 ,将 其 附加 到 该 链接 中 使 其 看 起 来 不 那么 可 疑 , 之 后 将 其 发 送 给 
目标 用 户 。 目 标 用 户 单 击 该 链接 后 ,目标 系统 将 彻底 死机 ,导致 完全 的 拒绝 服务 ,只 有 重 
启 才能 恢复 正常 。 


644 全 端口 攻击 载荷 : 暴力 猜 解 目标 开放 的 端口 


前 面 的 例子 之 所 以 能 够 成 功 , 主 要 是 由 于 目标 主机 反弹 连接 使 用 端口 没有 被 过 滤 掉 。 
如 果 攻击 的 组 织 内 部 设置 了 非常 严格 的 出 站 端口 过 滤 怎 么 办 ? 很 多 公司 在 防火 墙 上 仅仅 
开放 个 别 的 特定 端口 ,将 其 他 端口 一 律 关闭 ,这 种 情况 很 难 判定 能 够 通过 哪些 端口 连接 到 
外 部 主机 上 。 

可 以 猜测 443 端口 没有 被 防火 墙 楚 止 , 同 样 也 可 能 还 有 FTP, Telnet ,SSH 以 及 HTTP 
等 服务 使 用 的 端口 。Metasploit 提供 了 一 个 专用 的 攻击 载荷 帮助 找到 这 些 放行 的 端口 ,就 不 
用 费力 去 猜 了 。Metasploit 的 这 个 攻击 载荷 会 对 所 有 可 用 的 端口 进行 尝试 ,直到 它 发 现 其 中 

-个 放行 的 ,不 过 遍历 整个 端口 号 会 耗费 很 长 的 时 间 , 如 图 6-54 至 图 6-57 所 示 。 


图 6-54 设置 漏洞 利用 代码 


6-55 ”搜索 攻击 载荷 
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6-57 exploit 执行 


这 里 没有 设置 LPORT 参数 ,而 是 使 用 allports 攻击 载荷 在 所 有 端口 上 进行 监听 , 直 
到 发 现 一 个 放行 的 端口 。 攻 击 机 端口 绑 定 到 1( 指 所 有 端口 ), 它 与 目标 机 的 1848 端口 建 
立 了 连接 。 


6.5 后 渗透 测试 阶段 


到 目前 为 止 ,前 面 内 容 主要 关注 的 是 “前 渗透 "阶段 ,包括 尝试 各 种 不 同 的 技术 和 漏洞 
利用 代码 攻陷 目标 机 器 。 本 节 关 注 的 是 “后 渗透 阶段 , 即 在 成 功 实现 对 目标 机 器 的 攻击 
渗透 之 后 做 什么 。Metasploit 提供 了 一 种 功能 非常 强大 的 后 渗透 工具 meterpreter, 该 工 
具 具 有 多 重 功 能 ,使 探索 目标 机 器 任务 的 实现 变 得 更 加 容易 。 

之 前 是 利用 攻击 载荷 获取 特定 结果 ,但 这 种 方法 存在 一 个 很 大 的 缺陷 ,运行 攻击 载荷 
时 必须 在 目标 机 器 上 创建 新 进程 ,否则 防 病毒 软件 将 产生 警告 信息 ,从 而 暴露 攻击 行为 。 
此 外 ,攻击 载荷 在 功能 上 也 受 限 , 仅 执行 某 些 特定 任务 或 在 shell 中 运行 特定 命令 。 要 克 
服 这 些 不 足 , 需 要 用 到 meterpreter。 

meterpreter 是 metasploit 中 的 命令 解释 器 ,可 以 充当 攻击 载荷 ,并 使 用 内 存 DLL 注 
和 技术 和 原始 的 共享 对 象 格式 。meterpreter 解释 器 在 被 攻击 进程 中 工作 ,从 而 不 需要 创 
建 任何 新 进程 ,因而 也 更 隐蔽 和 更 强大 。 

下 面 总 结 一 下 meterpreter 相对 于 特定 攻击 载荷 的 优势 。 

。 在 被 攻击 进程 内 工作 ,不 需要 创建 新 进程 。 

| 易于 在 多 进程 之 间 迁 移 。 

* 完全 驻 留 在 内 存 中 ,不 需要 对 磁盘 进行 任何 写 人 操作 。 

。 使 用 加 密 通 道 。 

。 使 用 信道 化 的 通信 系统 ,可 以 同时 与 几 个 通道 通信 。 

* 提供 了 一 个 可 以 快速 简便 地 编写 扩展 的 平台 。 


651 分 析 meterpreter 系统 命令 


meterpreter 提供 了 如 下 一 些 命令 。 


CD ?命令 ,如 6. 4. 2 节 使 用 攻击 载荷 windows/smb/ms_08_067_netapi 攻陷 
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Windows XP 系统 ,启动 meterpreter 会 话 ,在 该 会 话 输入 ?命令 ,可 以 看 到 有 哪些 可 用 的 
meterpreter 命令 及 其 简短 描述 ,如 图 6-58 所 示 。 


backgrour 
bgkill 
bglist 


bgrun 


6-58 ”查看 meterpreter 命令 


(2) background 命令 ,该 命令 将 当前 的 meterpreter 会 话 发 送 到 后 台 并 返回 到 msf 
提示 符 , 以 便 在 需要 时 使 用 。 该 命令 适合 在 存在 多 个 meterpreter 会 话 时 使 用 ,如 图 6-59 
所 示 。 


Backgrounding 


E 6-59 background 命令 


(3) getuid 命令 ,该 命令 返回 目标 机 器 上 已 攻陷 或 者 正在 运行 的 用 户 名 ,如 图 6-60 
所 示 。 


meterpreter > getuid 


Server username: NT AUTHORIT 


6-60  getuid 命令 


(4) getpid 命令 ,该 命令 用 于 返回 当前 运行 meterpreter 的 进程 ID ,如 图 6-61 所 示 。 


neterpreter > getpid 


Current pid: 1136 


6-61 getpid 命令 


(5) ps 命令 ,该 命令 用 于 列 出 目标 机 器 上 当前 运行 的 所 有 进程 。 有 助 于 识别 目标 中 
运行 的 各 种 软件 和 服务 ,如 图 6-62 所 示 。 

(6) sysinfo 命令 ,该 命令 用 于 快速 确认 系统 信息 ,例如 操作 系统 和 体系 结构 ,如 
图 6-63 所 示 。 


该 命令 用 于 结束 meterpreter 会 话 ,或 用 于 终止 shell 会 话 回 到 
meterpreter 会 话 , 如 图 6-64 所 示 。 


C) exit áp ^. 


«» 
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图 6-62 ps 命令 


6-63  sysinfo 命令 


图 6-64 exit 命令 


652 权限 提升 和 进程 迁移 


权限 提升 命令 用 于 提升 攻击 者 在 目标 机 器 中 的 权限 , 因 为 有 时 候 是 以 权限 较 低 的 用 
户 身份 攻陷 目标 系统 的 ,所 以 需要 提升 到 管理 员 权 限 以 便 在 其 上 正常 执行 相应 任务 。 进 
程 迁移 命令 是 从 一 个 进程 迁移 到 另 一 个 进程 ,而 不 需 wx HE 何 写 人 操作 。 

为 提升 权限 可 利用 metasploit 中 的 getsystem 命令 。 用 -h 命令 显示 getsystem 的 命 
令 参 数 。getsystem 命令 使 用 3 种 不 同 的 技术 实现 权限 提升 ,默认 值 0 会 尝试 所 有 列 出 的 
技术 直至 成 功 , 如 图 6-65 Bra 


图 6-65 显示 getsystem 参数 


使 用 getsystem 命令 后 ,可 以 使 用 getuid 命令 检测 当前 用 户 ID, 如 图 6-66 所 示 。 
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6-66 权限 提升 


从 结果 可 以 看 到 使 用 getsystem 命令 后 , 低 权 限 用 户 被 提升 为 系统 权限 用 户 。 
接 下 来 讨论 Metasploit 的 另 一 个 命令 migrate, 该 命令 用 于 从 某 个 进程 迁移 到 其 他 进 
程 。 适 用 于 被 攻击 渗透 的 进程 可 能 崩溃 的 情况 ,例如 利用 浏览 器 漏洞 攻陷 目标 机 器 ,但 攻 
击 渗透 后 浏览 器 可 能 挂 起 或 者 被 用 户 关闭 。 迁 移 到 稳定 的 系统 进程 有 助 于 顺利 完成 渗透 
测试 任务 。 使 用 ps 命令 可 以 识别 所 有 活跃 进程 ID。 例 如 explorer. exe 的 ID Jj 1604 Jil 
可 以 通过 下 面 的 命令 迁移 到 explorer. exe, 如 图 6-67 和 图 6-68 所 示 。 


6-68 迁移 进程 


653 meterpreter 文件 系统 命令 


pwd 命令 用 于 列 出 当前 处 于 目标 机 器 的 哪个 目录 。cd 命令 可 以 从 当前 目录 切换 到 
目标 目录 ,如 图 6-69 Hrs 


图 6-69 显示 目录 


结果 可 以 看 出 ， ES pwd 命令 列 出 了 当前 的 工作 目录 ,然后 使 用 cd 命令 从 当 
cui TE HE. ls 命令 可 以 列 出 当前 目录 中 所 包含 的 文件 。 
接 下 来 在 驱动 器 中 搜索 文件 ,可 以 用 search 命令 快速 搜索 特定 的 文件 类 型 ,如 
图 6-69 所 示 的 命令 在 C 盘 驱 动 器 中 搜索 所 有 以 . doc 作为 扩展 名 的 文件 ,其 中 -f 用 于 指 
定 要 搜索 的 文件 模式 ,-d 参数 用 于 指定 在 哪个 目录 下 进行 搜索 ,如 图 6-70 所 示 。 
搜索 到 特定 文件 后 ,尝试 将 该 文件 下 载 到 攻击 方 所 在 计算 机 上 ,如 图 6-71 所 示 。 
通过 download 命令 ,将 目标 机 器 上 的 任意 文件 下 载 到 攻击 方 机 器 ,从 结果 可 以 看 
到 ,已 经 将 c:\winword. doc 文件 下 载 到 攻击 方 机 器 的 root 文件 夹 。 
也 可 以 使 用 upload 命令 将 攻击 方 机 器 的 文件 传 到 目标 机 器 ,如 图 6-72 所 示 。 


«E». 
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图 6-70 搜索 文件 


et .txt -> c: 


672 上 传 文件 


可 以 使 用 rm 命令 从 目标 机 器 删除 文件 ,用 rmdir 命令 删除 目标 机 器 的 目录 ,如 


图 6-73 所 示 。 


6573 ”删除 文件 


66 ”社会 工程 学 工具 包 


社会 工程 学 工具 包 (SET) 是 为 了 与 Social-Engineer. org 网 站 同期 发 布 所 开发 的 工具 
软件 包 。 安 全 界 许多 人 都 认为 社会 工程 学 依然 是 业界 面 对 的 最 大 安全 威胁 之 一 ,就 是 因 


为 社会 工程 学 攻击 很 难得 到 有 效 的 预防 。 


攻击 向 量 是 用 来 获取 信息 系统 访问 权 的 渠道 。SET 通过 攻击 向 量 来 对 攻击 进行 分 
类 (例如 基于 Web 的 攻击 .基于 E-mail 的 攻击 和 基于 USB 的 攻击 )。 它 利用 电子 邮件 、 


伪造 网 页 以 及 其 他 渠道 去 攻击 目标 ,可 以 很 轻松 地 控 
信息 。 很 明显 ,每 个 攻击 向 量 的 成 功率 会 因为 目标 主 
所 差别 。SET 同时 也 支持 预先 建立 E-mail 与 网 页 模 


制 个 人 主机 ,或 拿 到 目标 主机 的 敏感 
机 的 情况 以 及 通信 方式 的 不 同 而 有 
板 , 这 些 模 板 可 以 方便 地 用 来 进行 社 


会 工程 学 攻击 。SET 中 也 大 量 使 用 了 Metasploit 框架 所 提供 的 强大 能 力 。 


661 设置 SET 工具 包 


首先 根据 自己 的 需求 来 修改 SET 配置 文件 。 


是 /usr/share/set /config/set config, 


这 里 介绍 几 个 简单 的 配置 选项 ,目录 


WEBATTACK EMAIL 是 用 来 标识 在 Web 攻击 的 同时 是 否 进行 邮件 钓鱼 攻击 ,这 


个 选项 默认 是 关闭 的 ,这 意味 着 配置 在 使 用 Web Mi 


向 量 时 不 支持 邮件 钓鱼 ,如 图 6-74 
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所 示 。 


6-74 WEBATTACK_EMAIL 设置 


自动 检测 (AUTO_DETECT) 选 项 是 SET 最 重要 的 选项 之 一 ,并 且 默 认 是 打开 的 。 
该 选项 打开 后 使 得 SET 能 够 检测 到 所 在 主机 的 IP 地 址 ,该 地 址 可 以 作为 反 向 连接 地 址 
或 者 Web 服务 器 假设 地 址 。 如 果 使 用 多 个 网 络 接口 或 使 用 反弹 连接 攻击 载荷 并 指向 了 
另 一 个 IP 地址 ,那么 需要 关闭 这 个 选项 。 关 闭 该 选项 后 ,SET 需要 确定 攻击 主机 属于 哪 
种 配置 场景 ,来 确保 IP 地 址 使 用 方式 的 正确 性 ,如 图 6-75 所 示 。 


6-75 AUTO_DETECT 设置 


当 使 用 工具 包 的 时 候 , 默 认 会 使 用 基于 Python 架设 框架 的 内 建 Web 服务 。 为 了 优 
化 服务 性 能 ,需要 把 apache server 选项 开启 ,SET 将 会 使 用 Apache 服务 进行 攻击 ,如 
图 6-76 所 示 。 


图 6-76 APACHE_SERVER 设置 


在 Kali P, SET 工具 包 默 认 安 装 在 /usr/share/set 目录 下 。 首 先 在 当前 目录 下 进行 
下 载 安装 ,输入 . /setup. py install 命令 ,需要 等 待 一 段 时 间 由 系统 自动 安装 ,如 图 6-77 
所 示 。 


图 6-77 安装 SET 工具 包 


系统 会 提示 将 SET 工具 包 安 装 在 /usr/share/setoolkit 目录 下 ,进入 到 这 个 目录 并 执 
行 . / setoolkit 命令 启动 SET。 进 入 到 服务 后 应 首先 对 工具 包 进行 更 新 ,确保 用 到 的 是 最 
新 的 程序 ,如 图 6-78 至 图 6-80 所 示 。 
ILINEUJGIIDNC GIA | 
图 6-78 启动 SET 


6-79 输入 y 


662 针对 性 钓鱼 攻击 向 量 
针对 性 钓鱼 攻击 向 量 通过 


特殊 构造 的 文件 格式 漏洞 渗透 攻击 ,例如 利用 Adobe PDF 
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680 ”模块 显示 


漏洞 的 渗透 攻击 ,主要 通过 发 送 邮件 附件 的 方式 ,将 包含 渗透 代码 的 文件 发 送 到 目标 主 
机 , 当 目 标 主机 用 户 打开 邮件 附件 ,目标 主机 就 会 被 攻陷 和 控制 。SET 使 用 简单 邮件 管 
理 协议 (SMTP) 的 开放 代理 ,Gmail 和 Sendmail 来 发 送 邮件 。SET 同时 也 使 用 标准 电子 
邮件 和 基于 HTML 格式 的 电子 邮件 来 发 送 钓 鱼 攻击 。 

通过 SET 主 菜单 栏 ,选择 Spear-Phishing Attack Vectors, 紧 接 着 选择 perform a 
massemail attack。 这 个 攻击 利用 了 Adobe PDF 的 Collab. collectEmailInfo 漏洞 ,默认 将 
Metasploit 中 的 meterpreter 反 向 攻击 载荷 加 载 到 PDF 文件 中 ,Collab. collectEmailInfo 
是 一 个 堆栈 溢出 漏洞 ,如 果 打 开 ( 假 设 目 标 主机 安装 的 Adobe Acrobat 版 本 存在 此 漏洞 ) 
PDF 文件 ,那么 meterpreter 就 会 主动 连接 攻击 主机 的 443 端口 ,该 端口 在 大 多 数 网 络 中 
都 是 开放 连接 的 。 

下 一 步 针 对 单一 邮件 地 址 进行 攻击 ,将 之 前 生成 的 PDF 文件 作为 邮件 附件 ,并 使 用 
一 个 预先 定义 的 SET 邮件 模板 。 让 SET 使 用 一 个 Gmail 账户 或 者 其 他 的 邮件 账户 来 发 
送 恶意 文件 。 

最 后 , 创建 Metasploit 监听 端口 用 来 监听 攻击 载荷 反弹 连接 。 当 SET 启动 
Metasploit 的 时 候 , 它 已 经 配置 了 所 有 必需 的 选项 ,并 开始 处 理 所 攻 击 主机 TP 反 向 连接 
到 443 端口 。 

刚刚 建立 起 对 邮箱 的 攻击 ,构造 了 一 个 电子 邮件 发 送 给 目标 ,利用 了 PDF 文件 漏洞 。 
SET 允许 攻击 者 创建 不 同 的 模板 ,并 且 在 使 用 时 支持 动态 导入 。 当 目标 打开 邮件 并 双击 
附件 的 时 候 会 看 到 图 6-81 所 示 的 信息 。 


il reve pd - Adobe Reader sre 
File Edit Vie Window Help 


fip 85e 


EZ Open 


图 6-81 PDF 文件 


目标 用 户 打开 他 认为 合法 的 PDF 文件 ,与 此 同时 目标 主机 被 立即 控制 。 在 攻击 者 这 
边 , 会 自动 建立 连接 ,控制 被 攻击 主机 。 
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SET 针对 性 钓鱼 攻击 技术 仅仅 攻陷 了 一 台 目标 主机 。SET 同时 也 支持 “ 群 邮件 攻 
击 ” 选 项 。 还 可 以 创建 可 被 重新 利用 的 定制 攻击 模板 来 取代 SET 中 默认 内 含 的 预先 配置 
好 的 攻击 模板 。 


663 网 站 攻击 向 量 


SET 工具 包 中 的 网 站 攻击 向 量 利 用 多 种 Web 攻击 攻陷 目标 ,这 是 SET 工具 包 最 流 
行 的 攻击 方法 ,其 工作 方式 类 似 于 浏览 器 autopwn( 可 以 将 几 种 或 特定 的 攻击 发 送 到 目标 
浏览 器 ) 。Java Applet 攻击 是 SET 中 最 成 功 的 攻击 向 量 之 一 ,该 攻击 引入 了 恶意 Java 
Applet 程序 进行 智能 化 浏览 器 检查 ,确保 Applet 能 在 目标 浏览 器 正确 运行 ,同时 也 能 在 
目标 主机 运行 攻击 载荷 。Java Applet RIPARA N Java 本 身 的 漏洞 , 当 受 攻 击 目 
标 浏览 恶意 网 页 的 时 候 , 网 页 会 弹出 一 告 , 问 是 否 需要 运行 一 个 不 被 信任 的 Java 
Applet, 当 单 击 运行 按钮 后 ,一 We 攻击 者 便 会 得 到 目标 主机 的 
Shell。 一 旦 攻击 载荷 成 功 执行 ,目标 主页 就 会 被 重 定 向 到 合法 网 站 上 ,以 保证 攻击 不 被 
轻易 发 现 , 如 图 6-82 所 示 。 


图 6-82 网 站 攻击 向 量 


本 节 讨 论 其 中 最 流行 的 第 一 个 选项 Java Applet 攻击 方法 。 弹 出 的 提示 信息 要 求 建 
立 网 站 , 既 可 以 选择 自 定义 模板 ,也 可 以 克隆 一 个 完整 的 URL。 要 执行 这 种 攻击 ,需要 目 
标 用 户 访问 渗透 测试 人 员 克 隆 的 网 站 。 因 此 测试 人 员 应 该 做 到 克隆 网 站 不 与 实际 网 站 存 
在 很 大 偏差 。 

从 SET 主 菜 单 中 选择 Web 攻击 向 量 ,使 用 Java Applet 攻击 方法 ,同时 在 子 选项 中 
选择 网 页 克隆 的 方式 。 最 后 输入 SET 需要 克隆 的 网 站 域名 。 攻 击 者 可 以 选择 其 他 攻击 
载荷 ,默认 的 meterpreter 反 向 攻击 载荷 通常 是 - -个 不 错 的 选择 。 在 这 个 攻击 场景 中 , 当 
选择 编码 方式 和 回 连 端 口 的 时 候 , 攻 击 者 可 以 直接 选择 默认 选项 。 在 所 有 配置 完成 之 后 
SET 启动 Metasploit, SET 设置 了 Metasploit 的 必要 选项 ,最 后 在 443 端口 等 an 
meterpreter 回 连 。 需 要 注意 的 是 已 经 创建 了 一 个 克隆 的 网 页 Web 服务 器 ,如 果 修 改 配 
置 文件 开启 了 WEBATTACK_EMAIL,SET 会 提示 使 用 针对 性 钓鱼 攻击 向 量 ,并 发 出 一 
份 攻击 邮件 。 

现在 一 切 就 绪 , 只 要 把 目标 用 户 吸引 到 克隆 网 页 上 。 当 他 浏览 到 这 个 网 页 后 会 看 到 

一 个 由 微软 发 布 的 弹出 警示 框 。 如 果 目 标 用 户 单 击 运行 ,攻击 载荷 就 会 运行 ,会 得 到 目标 
主机 的 控制 权 。 回 到 攻击 机 ,meterpreter 攻击 会 话 已 经 建立 成 功 ,可 以 访问 目标 主机 了 。 


664 传染 性 媒体 生成 器 
传染 性 媒体 生成 器 是 一 个 相对 简单 的 攻击 向 量 ,通过 这 个 向 量 ,SET 生成 一 个 文件 来， 


> 
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可 以 将 这 个 文件 夹 复制 到 CD/DVD 光盘 上 ,或 者 存储 到 USB 驱动 器 上 。 一 旦 这 些 存 储 媒 
介 被 插入 到 目标 主机 上 ,Autorun. inf 这 个 文件 就 会 被 自动 加 载 ,并 运行 Autorun. inf 文件 内 
指定 的 任意 攻击 。 目 前 ,SET 支持 加 载 可 执行 文件 (例如 meterpreter) ,同时 也 支持 文件 


6.7 使 用 Armitage 


Armitage 是 运行 在 Metasploit 框架 上 的 图 形 界面 工具 ,也 是 一 种 智能 化 的 工具 ,可 
以 把 目标 和 漏洞 利用 代码 进行 可 视 化 展示 ,并 且 还 包含 该 框架 中 一 些 高 级 的 后 渗透 阶段 
功能 。 

Armitage 整合 Metasploit 框架 中 有 关 黑 客 的 功能 ,包括 目标 发 现 ,. 访 问 、 后 渗透 工作 
及 其 他 一 些 操作 。Armitage 中 包含 动态 的 工作 区 ,用户 可 以 在 其 中 定义 目标 并 在 目标 标 
准 之 间 进 行 快速 切换 ,还 可 以 将 数 台 主机 划分 为 不 同 的 目标 集 。Armitage 也 可 以 启动 扫 
描 , 并 从 多 种 扫描 器 中 导入 数据 。Armitage 对 当前 目标 进行 了 可 视 化 展示 ,以 便 用 户 更 
清楚 与 哪 台 主 机 建立 会 话 。Armitage 使 用 漏洞 利用 代码 并 运行 主动 检查 (可 选 的 ) 告 诉 
用 户 哪 一 个 漏洞 利用 代码 可 用 。 如 果 这 些 选项 失效 ,可 以 使 用 Hail Mary 攻击 ,利用 
Armitage 的 智能 化 自动 攻击 功能 对 目标 进行 攻击 渗透 。 

进入 Armitage 环境 后 ,可 以 看 到 Armitage 中 包含 meterpreter 中 内 置 的 一 些 后 渗透 
阶段 工具 ,用 户 只 需 单 击 某 个 菜单 选项 ,就 可 以 实现 权限 提升 、 击 键 记录 口令 喻 希 导出 、 
浏览 文件 系统 .使 用 Shell 命令 等 功能 。 

Kali Linux 系统 默认 安装 了 Armitage, 可 以 通过 Applications > Kali Linux > 
Exploitation Tools-* Network Exploitation-*armitage 启动 Armitage, 如 图 6-83 所 示 。 


6-83 ”启动 Armitage 


在 Linux 上 使 用 Armitage 时 ,要 确保 框架 中 的 数据 库 正在 运行 ,可 以 在 终端 运行 


service postgresql start. 
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启动 Armitage 连接 ,输入 armitage 之 后 ,在 弹 
出 的 连接 对 话 框 单 击 Connect 按钮 ,如 图 6-84 所 
示 , 会 很 快 弹出 Armitage 主 界面 。 

快速 浏览 Armitage 窗口 ,其 左边 有 一 个 搜索 
面板 ,在 其 中 可 以 搜索 框架 中 所 有 不 同 的 模块 。 还 
可 以 看 到 MSF Console 面板 ,在 其 中 可 以 执行 前 面 


讲 过 的 任意 Metasploit 命令 。 所 以 使 用 Armitage 


时 既 可 以 利用 GUI 的 功能 ,又 可 以 利用 命令 行 的 
功能 ,如 图 6-85 所 示 。 


Armitage 


| 
| Armitage View Hosts Attacks Workspaces Help Pd 
| 


» (ll auxiliary 

» (il exploit 4 
» ll payload " 
» (lj post. 


Console X 


Connect... 


127.0.0.1 


55553 


msf 


m 


Connect Help 


684 连接 


图 6-85 Armitage 窗口 


下 面 要 对 主机 进行 攻击 了 ,攻击 目标 是 192. 168. 1. 118 的 Windows XP 系统 。 首 先 
对 目标 机 进行 扫描 ,Armitage 中 集成 了 Nmap , 单 击 Armitage 的 Hosts 菜单 ,然后 选择 


Input 


[192168.1.118 | 


| 准确 探测 出 操作 


Nmap Scan, 弹 出 的 子 菜单 中 有 很 多 扫描 选项 ， 
这 里 直接 用 QuickScan ,这 种 方式 可 以 自动 探测 
«» Fo | 目标 主机 的 操作 系统 ,在 Armitage 攻击 系统 时 ， 
系统 是 比较 重要 的 。 在 弹出 的 


Lene] 四 加 | 输入 框 中 填写 目标 地 址 或 者 地 址 段 , 如 图 6-86 


6-86 扫描 地 址 


所 示 ,得 到 扫描 结果 如 图 6-87 所 示 。 


右 击 目标 主机 的 图 像 , 单 击 Services 选项 ， 
弹出 一 个 新 的 菜单 , 列 出 了 开放 端口 以 及 端口 上 运行 的 相应 服务 。 通 过 这 种 方式 ,可 以 收 


集 大 量 关 于 多 个 目标 的 信息 。 


Armitage 将 根据 开放 的 端口 和 操作 系统 中 存在 的 已 知 漏洞 ,自动 为 目标 寻找 适当 的 漏 


«E» 


web o5 o 1158 5 835 cc T RISE 


Armitage cent 


Armitage View Hosts Attacks Workspaces Help 


» (il auxiliary 
» (ill exploit 
» (i payload 
» (li post 


[console x [ nmap. X. 


db nmap --min-hostgro -T4 -n -F 192.168. 1. 11i 
) 2015-04-09 12:45 EDT 


DT] 

DOT] 

Do] 

DT] ] 4:C4:CF (Hon Hai Precision 
Nmap 1 IP address (1 host up) scanned in 1.4 


687 ”扫描 结果 


洞 利用 代码 。 但 这 一 过 程 结果 不 会 总 是 正确 的 ,因为 搜索 到 的 漏洞 利用 代码 完全 依赖 于 
Nmap 扫描 返回 的 结果 ,如 果 操 作 系 统 寻 找 环节 出 错 ,所 选择 的 漏洞 利用 代码 也 不 会 生效 。 
发 现 目标 之 后 ,选择 Armitage 的 Attacks 选项 ,可 以 根据 已 发 现 目 标 开放 端口 和 操 
作 系 统 漏洞 寻找 已 知 的 漏洞 利用 代码 ,要 找到 适当 的 漏洞 利用 代码 , 单 击 Find Attacks. 
Armitage 找到 漏洞 利用 代码 之 后 ,在 目标 主机 的 图 像 上 右 击 ,将 出 现 新 的 Attack 选 
项 ,选择 该 选项 可 以 显示 出 Armitage 为 目标 主机 找到 的 不 同 攻击 方法 ,如 图 6-88 所 示 。 


r 
Armitage -Lo ] 
Armitage View Hosts Attacks Workspaces Help 


> (ll auxiliary 
» (lij exploit 
> il payload 
> (ill post 一 
EL dcerpc 
gin oracle 
Services ENS 


Scan | smb 


msf > db_nmap --min-h í 
Nnap: Starting 2015-04-09 12:45 EDT 
map: N 
Nnap 
Nnap 
Nmap 


Nmap 
Nnap 
Nmap 
Nnap 
map 


图 6-88 Attack 选项 
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接 下 来 选择 合适 的 漏洞 利用 代码 进行 攻击 , 当 目标 主机 图 像 变 成 红色 ,图像 四 周边 界 
高 亮 ,表明 渗透 攻击 已 经 成 功 ,msfconsole 将 显示 打开 的 会 话 。 右 击 目标 主机 图 像 ,会 出 
现 meterpreter 通道 选项 。 

实现 对 目标 的 渗透 后 , 右 击 目标 主机 图 像 并 进行 相应 的 一 些 选项 操作 。 一 些 常见 的 
后 渗透 阶段 动作 只 需要 通过 一 些 鼠 标点 击 操作 即 可 完成 。 比 如 右 击 目标 主机 图 标 ,选择 
Meterpreter-Access-Escalate privileges ,就 可 以 实现 权限 提升 操作 。 但 是 只 有 使 用 了 
Metasploit 命令 后 ,才能 理解 Armitage 的 真正 功能 。 强 大 的 命令 行 工具 和 GUI 的 有 效 
结合 ,使 Armitage 成 为 进行 渗透 测试 的 一 个 有 效 工 具 。 


6.8 本 章 小 结 


Metasploit 是 一 款 开源 的 安全 漏洞 检测 工具 ,可 以 帮助 安全 和 IT 专业 人 士 识别 安全 
性 问题 ,验证 漏洞 的 缓解 措施 ,提供 真正 的 安全 风险 情报 。 这 些 功 能 包括 智能 开发 ,密码 
审计 ,Web 应 用 程序 扫描 ,社会 工程 等 。 

Metasploit 是 一 个 免费 的 、 可 下 载 的 框架 ,通过 它 可 以 很 容易 地 获取 、 开 发 并 对 计算 
机 软件 漏洞 实施 攻击 。 它 本 身 附 带 数 百 个 已 知 软件 漏洞 的 专业 级 漏洞 攻击 工具 。 当 
H. D. Moore 在 2003 年 发 布 Metasploit 时 ,计算 机 安全 状况 也 被 永久 性 地 改变 了 。 仿 佛 
一 夜 之 间 , 任 何人 都 可 以 成 为 黑客 ,每 个 人 都 可 以 使 用 攻击 工具 来 攻击 那些 未 打 过 补丁 或 
者 刚刚 打 过 补丁 的 漏洞 。 在 目前 情况 下 ,安全 专家 以 及 业余 安全 爱好 者 更 多 地 将 
Metasploit 当 作 一 种 点 几 下 鼠标 就 可 以 利用 其 中 附带 的 攻击 工具 进行 成 功 攻击 的 环境 。 


1. 简 述 Metasploit 的 主要 功能 。 
2. 尝试 运用 Metasploit 进行 渗透 测试 。 
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Web 浏览 器 渗透 攻击 工具 BeEF 


7.1 BeEF ff 4r 


BeEF 是 目前 欧美 最 流行 的 Web 框架 攻击 平台 ,全 称 为 Browser Exploitation Framework 
Project, BeEF 利用 简单 的 KSS 漏洞 ,通过 一 段 编写 好 的 JavaScript(hook. js) 控 制 目标 
主机 的 浏览 器 (被 攻击 者 访问 一 个 特定 的 攻击 链接 ) ,通过 目标 主机 浏览 器 获得 该 主机 的 
详细 信息 。BeEF 里 面 集成 了 很 多 模块 , 当 控制 目标 主机 的 浏览 器 后 ,能 够 获取 很 多 信 
息 , 如 Cookie 浏览 器 名 字 ,版 本 插件 ,是 否 支持 Java, VB, Flash 等 信息 ,通过 攻击 命令 进 一 
步 扫 描 内 网 。 简 单 地 说 ,BeEF 攻击 原理 就 是 通过 浏览 器 获得 各 种 信息 并 且 扫 描 内 网 信息 ， 
同时 能 够 配合 Metasploit 进一步 渗透 主机 。BeEF 的 功能 架构 如 图 7-1 所 示 。 


轮 询 候 尸 机 18.5.3.67 
sei E à 
— 


命令 ， 控制， 攻破 = 
设备 或 系统 1 E s 
BeEF 所 有 者 z 
(攻击 者 ) 


僵尸 机 7.3.7.4 


图 7-1 BeEF 功能 架构 图 


7.2 安装 BeEF 


Kali Linux 1. 0. 9 提供 了 数 种 经 过 定制 的 专门 为 渗透 测试 设计 的 工具 ,BeEF 在 Exploitation 
Tools (漏洞 利用 工具 ) 中 。 所 以 安装 Kali Linux 系统 后 便 可 以 直接 使 用 BeEF, 如 图 7-2 所 示 。 
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应 用 程序 ÜE 4 月 17 日 星期 五 16:01 
Kali Linux D A Top 10 Security Toots 


iiaa ”QQ 信息 收集 


M 编程 ? fy ARAN 
War ? So web 程 序 
Enr ? ^ 密码 攻击 
Q sun ? y 无 线 攻击 
Aus ? dh ns isco 攻 击 


7-2 Kali Linux 1.0.9 中 的 BeEF 


在 其 他 系统 中 安装 BeEF 的 问题 可 访问 BeEF ff) E Id; http: //beefproject. com/。 
7.3 BeEF 的 启动 和 登录 


731 BF m 
在 BeEF 的 安装 目录 下 启动 BeEF: 
(1) 执行 命令 cd /usr/share/beef-xss 进入 BeEF 的 安装 目录 。 
(2) 执行 命令 . /beef 启动 BeEF, 如 图 7-3 所 示 


root@kali: /usr/share/beef-xss 


文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


beef key. pem 
m config.yaml dp enfile 


图 7-3 启动 BeEF 
BeEF 启动 成 功 ,如 图 7-4 所 示 。 
732 登录 EF 


用 浏览 器 打开 http: //192. 168. 137. 130: 3000/ui/panel 进入 BeEF 系统 ,用 户 名 和 
密码 均 是 beef, 如 图 7-5 所 示 。 

登录 后 的 BeEF 界面 及 相关 功能 说 明 如 下 : 在 攻击 页 面 左边 显示 被 攻击 主机 的 TP. 
被 攻击 过 的 主机 IP 以 及 相应 的 浏览 器 ,Online Browsers 下 面 列 出 的 是 在 线 的 被 攻击 的 
主机 IP. Offline Browsers 下 面 列 出 的 是 以 往 被 攻击 过 的 主机 ,点 击 被 攻击 的 主机 IP, 在 
攻击 页 面 的 右边 会 显示 被 攻击 主机 的 详细 信息 ,如 浏览 器 类 型 及 其 版 本 、 主 机 操作 系统 信 
息 及 被 攻击 主机 的 插件 等 信息 ,如 图 7-6 Bron. 


€» 
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root@kali: /usr/share/beef-xss 
文件 (F) RRE 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


7-4 BeEF 启动 成 功 


-eEF 


Authentication. 
Username: beef 
Password: - 


Login 


图 7-5 BeEF 登录 界面 


被 攻击 主机 的 信息 ， 如 浏览 器 名 称 、cookie、 播 
并 通过 commands 进 一 步 攻 击 目标 主机 
ile Edit View History Bookmarks Tools Help 
BeEF Control Panel X | C] The Butcher. xaje] 
T : | 
€ [81270015 ] v Q [Dv Goog ay 


Current Browser 


正在 被 攻击 “| 


的 主机 IP 


被 攻击 过 
的 主机 IP 
7» 192 168.137 1 
9-85 192.168.137.1 


© A B 192.168.137.130 
OAH 12158171 
EAE 102.168.171 


Commands | Rider || XssPays || bec 


hntialization. 


Browser UA String: Nozaa50 (X11; Linux i686; rv-24 0) Gecko/20140925 


hntialization. 
'refox/24 0 Iceweasel24 8.1 


Browser Platiorm: Linux i696 
Browser Plugins: Gnome Shel integration. 
dow Size: Width: 800, Height: 382. 


ingialzalion 


hntialization. 


Iniialization. 


7-6 BeEF 功能 界面 
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7.4 BeEF 中 的 攻击 命令 介绍 


741 Be 于 中 的 攻击 命令 集合 


当 目 标的 服务 器 访问 了 这 个 攻击 页 面 http://192. 168. 137. 130; 3000/demos/ 
basic. html, 就 被 钧 (hook) 上 了 ,被 钓 的 持续 时 间 到 被 攻击 主机 关闭 测试 页 面 为 止 。 在 
此 期 间 , 被 攻击 主机 相当 于 被 控制 了 ,攻击 者 可 以 发 送 攻击 命令 。 选 择 Commands 栏 ， 
可 以 看 到 很 多 已 经 分 好 类 的 攻击 模块 , BeEF 通过 Commands 中 的 命令 进行 攻击 ,如 
图 7-7 所 示 。 


BeEF Control Panel - Iceweasel 
Edit View History Bookmarks Tools Help 
BeEF Control Panel x 


[& 127.0.0.1:3000/ui/panel v €) (Dv Googie a g 


ostVisitedv JifOffensive Security Kali Linux Kali Docs 加 Explot-DB W Aircrack-ng 


P BeEF 0449apha | Submit Bug | Logout 


-r i i EEC 于 
hS zoo Deais | Logs | Commands | Rider | XesRays | bec | 
LIU PIN 


EAE 12.168.197.1 
LI LEE A 
298 ossa 
0 E 192.168.137.130 
LI LIII 

@AN 2168.171 


各 种 攻击 命令 
图 7-7 BeEF 中 的 攻击 命令 集合 


742 Be 年 中 攻击 命令 颜色 的 含义 


攻击 命令 的 颜色 含义 如 下 。 

， 绿色: 该 攻击 模块 命令 可 用 , 且 隐 项 性 强 。 

* ME: 该 攻击 模块 可 用 ,但 用 户 可 能 会 发 现 它 。 

* 红色: 该 攻击 模块 是 否 可 用 需 待 验证 ,可 以 直接 实验 。 

。 灰色; 该 攻击 模块 不 可 用 。 

例如 ,在 图 7-8 中 ,Misc 类 下 有 8 个 攻击 命令 。 其 中 ,前 5 个 命令 可 用 ,前 面 有 绿色 标 
志 ; 第 6 个 命令 不 可 用 ,前 面 有 灰色 标志 ;最 后 两 个 命令 可 用 ,但 可 能 会 被 用 户 发 现 ,前 面 
fd Gs 
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命令 颜色 代表 不 同意 思 
图 7-8 攻击 命令 的 颜色 


7.5 基于 浏览 器 的 攻击 


Commands 中 的 Browser 类 命令 用 于 获取 浏览 器 信息 ,这 里 主要 讲解 比较 重要 的 命 
令 , 例 如 ,Get Cookie 命令 获取 客户 端 Cookie 信息 ;Get From Value 命令 获取 页 面 提交 
的 表单 信息 ;Redirect Browser 命令 使 浏览 器 重 定向 。 
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Cookie 是 服务 器 暂时 存放 在 用 户 的 计算 机 上 的 资料 ,让 服务 器 用 来 辨认 计算 机 。 当 
用 户 在 浏览 网 站 的 时 候 , Web 服务 器 会 先 发 送 资料 存放 在 用 户 的 计算 机 上 ,Cookie 会 记 
录用 户 在 网 站 上 所 打 的 文字 或 一 些 选择 ,所 以 Cookie 包含 了 一 些 敏感 信息 ,如 用 户 名 、 计 
算 机 名 、 使 用 的 浏览 器 ,曾经 访问 的 网 站 。 当 下 次 用 户 再 光临 同一 个 网 站 ,Web 服务 器 会 
先 看 看 有 没有 用 户 上 次 留 下 的 Cookie 资料 ,有 的 话 , 就 会 依据 Cookie 里 的 内 容 来 判断 使 
用 者 ,送出 特定 的 网 页 内 容 给 用 户 。Cookie 的 使 用 很 普遍 ,许多 提供 个 人 服务 的 网 站 利 
用 Cookie 来 辨认 使 用 者 ,以 方便 送出 为 使 用 者 量 身 定做 的 内 容 , 例 如 Web 接口 的 免费 E- 
mail 网 站 都 要 用 到 Cookie, 攻 击 者 可 以 对 Cookie 加 入 代码 ,从 而 改写 Cookie 的 内 容 , 以 
便 持 续 攻击 。 鉴 于 Cookie 的 实际 应 用 ,Get Cookie 命令 显得 非常 重要 。 

可 以 通过 Get Cookie 命令 对 已 经 被 攻击 的 主机 进行 Cookie 信息 的 获取 ,进入 
Commands ,选择 Get Cookie, 单 击 Execute 按钮 后 , 便 可 以 在 攻击 窗口 右边 的 Command 
results 中 查看 结果 ,获得 相应 信息 ,如 图 7-9 所 示 。 

执行 Get Cookie 命令 后 的 结果 如 图 7-10 所 示 。 
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Get Form Values 命令 能 够 获取 被 攻击 目标 页 面 提交 的 表单 信息 ,如 截获 被 攻击 目标 填 
写 的 银行 卡 信息 ,注册 页 面 的 用 户 名 密码 。 攻 击 者 可 以 利用 获取 的 信息 模拟 目标 主机 进行 
更 进一步 的 攻击 。 进 入 攻击 界面 ,选择 Get Form Values 命令 , 单 击 Execute 按钮 后 , 便 可 以 
在 攻击 窗口 右边 的 Command results 中 查看 结果 ,获得 相应 信息 ,如 图 7-11 所 示 。 
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获取 cookie 命令 描述 
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攻击 命令 的 历史 记录 单 击 Execute 执 行 
图 7-9 Get Cookie 命令 
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图 7-10 执行 Get Cookie 的 结果 


获取 表单 信息 命令 执行 后 的 历史 记录 。 命令 描述 


图 7-11 Get Form Values 命令 
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目标 主机 填写 相应 表单 的 信息 ,如 图 7-12 所 示 。 
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|Ble Edit View Heto Bookmarks Tools Help 
|| C3 The Butcher * 


和 [à 127.0:0.1:3000/demos/butcher/index. html. v € [Dv Googie 


图 Most Visitedv BlOffensive Security Kali Linux. Kali Docs KExploit-DB WAircrack-ng 


Delicious delicious hamper, straight to your door! 


已 填写 相应 的 值 ; 
11.22. 33. 44. 55. 66 


图 7-12 被 攻击 者 填写 的 表单 


通过 执行 命令 Get Form Values 得 到 的 结果 如 图 7-13 所 示 。 


BeEF 0449-apha | Submt Bug | Logout 


z Hooked Browsers. Current Browser 
|4 -3 Onine Browsers 
4 加 27001 Commands | Rider | XssPays | pec | 
LATIS (ModdeTee ModuleResuls tstory Command resuts 9 
|4 ottine Browsers. C Browser ( e "pem erm 1|  SunMay 102015 130635 
@A E 12168171 € pus — 
EAX 1921681371 1259 
? MS 192.168.137.1 2015-0. 
V E 192.168.137.130 za: 
@ AE 12.168.171 
EAN 2158.171 


有 相应 的 值 : 11. 22. 33. 44. 55. 66 
图 7-13 执行 Get Form Values 命令 得 到 的 结果 


753 Qede Aet Didog 命令 


攻击 者 执行 Create Alert Dialog 命令 ,在 目标 主机 的 浏览 器 页 面 上 显示 一 个 对 话 框 ， 
对 话 框 的 内 容 可 以 自行 设 定 , 如 图 7-14 所 示 。 
当 执 行 Create Alert Dialog 命令 后 ,目标 主机 显示 如 图 7-15 所 示 。 


754 Redred Bowser 命令 
Redirect Browser 命令 可 以 使 目标 主机 的 浏览 器 重 定向 ,浏览 器 重 定向 的 链接 可 以 
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È BeF 0449apha | Submit Bug | Logout 


EI | CurrentBrowser | 
Deis | Logs | Commands | Fider | XssRays | bec | 
EAE sisi ModueTree — Module Resuhts History —— — 
6-81 1:56:51 ORepace HREFS (TEL) [^] | ame aa Description: Sends an alen dalog 
[PN Ca 站 [NE Pn rad 
© A 8 2:56 17 10 @ Create Prompt Dialog. 259 1 i 


EAE 2168171 Osara 1 20150.. comad ||Aenien P8 
OAR nana @ Redrect Browser (1 ne 2 
@Redrect Browser (Fra 2 20150... command 
u 
EdEo © Pepiace Component ns 3 


m 
Basic | Requester © Ready 


对 话 框 的 名 称 可 以 改动 
图 7-14 Create Alert Dialog 命令 


The Butcher - Iceweasel 
File Edt View History Bookmarks Tools Help 


和 [à 127.0.0.1 3000/demos/butcher/index html v € [Dv Google 


Most Visitedv filOffensive Security ‘Ñ Kali Linux Kali Docs 加 Exploit-DB W Aircrack-ng 


Be£F Alert Dialog 


执行 Create Alert Dialog 后 的 结果 


图 7-15 执行 Create Alert Dialog 的 结果 


自己 设 定 , 如 图 7-16 所 示 ,这 里 重 定向 的 地 址 为 百度 地 址 https://www. baidu. com/。 
当 用 户 执行 后 ,目标 主机 的 浏览 器 就 会 重 定向 到 百度 ,如 图 7-17 所 示 。 
其 他 的 基于 浏览 器 的 攻击 命令 , 均 可 以 查看 命令 的 描述 后 执行 。 

755 ”Deted Todbars 命令 
Detect Toolbars 命令 检测 浏览 器 工具 栏 的 安装 ,结果 如 图 7-18 所 示 。 


756 Deed Wndows Meda Player 命令 
Detect Windows Media Player 命令 检测 浏览 器 中 是 否 有 Windows 媒体 播放 器 插件 


/ 


wib RDH 5 835 cc T RR 


ol Sam Bn ium | 
Hooked Browsers 
C Onine Browsers 
[a Sorine Browsers 
@A E 12168.1371 
EAX 192 16813711 
9 MS 192.168.197.1 
0 Bisous 
[2 LEICA 
essi 
V5 Bizooi 


让 被 攻击 的 浏览 器 跳 转 到 自 定义 的 位 置 ; 


https://www.baidu.com/ 


图 7-16 Redirect Browser 命令 


File Edit View History Bookmarks Tools Help 
ontrol 图 百度 一 下 ， 你 就 知道 x 


和 (& https://www. baidu.com] «e Google q) 


[@ Most Visitedv JifOffensive Security Kali Linux ‘Ñ Kali Docs RJExploit-DB MAircrack-ng 


Æ 7-17 H47 Redirect Browser 的 结果 


BeEF 0449-apha | Submit Bug | Logout 
Getting Started x Logs | Current Browser l 
Detals | Logs | Commands | Fider | XesRays | bec | 


Command resuts [=| 
| 1 Sun May 10 2015 13:40.53 


GMT+0800 (CST) 
data: toobars- no toolbars 
detected 


ERS 2111 


© 5 B 192.168.137.130 
@AE 192.168.17.1 
OE 


图 7-18 Detect Toolbars 命令 
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Y ser 0449apha | Submit Bug | Logout 
is i | 


安装 ,结果 如 图 7-19 Bron 


| Command resuts =) 


vu - Sun May 10 2015 134203 
e8Hisisi - GMT+0800 (CST) 
wmp-ho 


6981 12158.1971 
9 LECCE 
© A E 192.168.137.130 
ÈRE 12168.1371 
@RE 215817.1 


图 7-19 Detect Windows Media Player 命令 


757 G Visted RARs 命令 


Get Visited URLs 命令 通过 调用 afruncommand() 特 权 函 数 检 索 用 户 的 浏览 历史 ,如 
图 7-20 所 示 。 


BeEF 0449alpha | Submit Bug | Logout 


Hooked Browsers ||| Gening Stared x| Logs | Current Browser l 
4 CjOnine Browsers. — - : 
4Cjooi Deals | Logs | Commands | Rider | XssPays | bec | 
S zro01 | History Command resuts 1 
4 Gjoftine Browsers Webcam Permission Check P RN 1| — SunMay 102015 13:48:40 
e 8E 12168.1971 i) Webcam HTMLS. GMTi0800 (C 


638 192168171 @ Detect Popup Blocker D prx E 
2985 192 1681371 @ Detect ActiveX onn e 
© A 9 soin 7.10 Qua Datat Browar (Hino) rpush(o[i); return r; } = 
@ Detect S Office. faise 
eian @ Detect Simple Adblock 
rac @ Detect Unsate ActiveX. 
Get Visted URLS 
| [Chrome Extensions (6) 


Debug (8) 


Æ 7-20 Get Visited URLs 命令 


7.6 基于 Debug 的 攻击 


761 Rdun ANI Chars 命 令 

Return ASCII Chars 命令 本 模块 返回 ASCI 字符 集 ,如 图 7-21 所 示 。 
762 Reun Image 命 令 

Return Image 命令 返回 一 个 PNG 图 像 呈 现在 BeEF 中 ,如 图 7-22 所 示 。 
763 Tes HITP Bnd Raw 命令 


Test HTTP Bind Raw 命令 测试 HTTP 绑 定 的 原 (raw) ,如 图 7-23 所 示 。 
764 Tes HTTP Redred 命令 


Test HTTP Redirect 命令 测试 HTTP 重 定向 ,如 图 7-24 所 示 。 


/ 
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ser 0449apha | Submit Bua | Logout 
Getting Started x| Logs Current Browser 
Deas | Logs | Commands | Rider | XssRays 


4 后 27001 
5o | 
4 Otfine Browsers 
LE E 2168.171 
ØRS 192 168 1371 
9 ME 192 168 1371 


© A E 192.168.137.130 eamm 

O Test COPS Request 
ORE sues: 9 Test HTTP Bind Raw 
@ 到 号 192 168 1371 Tes HTTP Redirect 


© B w001 
[Cy tine Browsers > Orowser(49) — Sun May 10 2015 14:04:17 
@ AB 192.168.137.1 » C Chrome Extensions (6) 
MS 12168.1371 4 CjDebug (8) 
? MS 192.168.137.1 Gem adici 
o B 92.168.137.30 pcm 
ÈA 12.168.171 iapa 


6 Test HTTP Bind Raw 
9 Test HTTP Redrect 
© Test Network Request 
© Test Returning Resuts 
© Test beet debug) 

» C Expiots (58) 

? Oros (17) 


ÈRE 12168.1371 


Æ 7-22 Return Image 命令 


È BeEF 0449apha | Subm Bug | Logout 


Hooked Browsers || Gering Saned x| Logs | Current Browser 
Pnine Browsers 
Broo Detais | Logs | Commands | Per | XesPays | bec | 
更 8 昌 127001 | ModuleResuhs History— Command resuts E 
ptfine Browsers. 1 Sun May 10 2015 135601. 
国有 192 168 1371 D C Chrome Extensions (6) 
MS 192 1681371 4 Debug (8) 
MS 192 168 1371 (o Return Asci Chars 
D B 192.168.137.130 sti 
O Test CORS Request 
AB sasisi Tes HTTP Bid Raw 
DAE 192.168.171 Test HTTP Redirect 
— lest Nenwork Penuest 


Æ 7-23 Test HTTP Bind Raw 命令 


765 Tes Nemak Request 命令 


Test Network Request 命令 通过 检索 一 个 URL 来 测试 BeEF 的 网 络 请 求 ,如 
所 示 。 


图 7-25 
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TW Bett 0449apha | Submit Bug | Logout 


Hooked Browsers. 
Onine Browsers 


Getting Started. || Logs 


Curren Browser 


27001 


Deas | tos | commands | ros | XeRas | vec | 


S ooi 
Bortine Browsers. 

@A E 192.168.1371 
192.168.137.1 
2ML 192.168.137.1 
85 Biagi 
e8Eiusisi 
@ 192.168.1371 


re 
© Retun mage 
4 Test CORS Request 
4 Test HTTP Bind Raw 
i Test HTTP Redirect 
4 Test Network Request 
O Test Peturing Resuas 
4 Test beef debug() 

> Cj&rpots (58) 

b OHos (17) 

» Orto) 


- Hooked Browsers. 
la Onine Browsers 
4o01 
LOPEZ 
la Cyottine Browsers 
ORE 12168.1371 
EAT 192158171 
285. 192.168.137.1 
A B 192.168.137.130 
LL E 12168.1371 
LI E 1921681371 


Sun May 10 2015 17:1503 
GMT+0800 (CST) 


data: 
'status, code" 200,'status text 


图 7-25 Test Network Request 命令 


7.1 


771 Fée Hash Update 命 令 


执行 Fake Flash Update 


基于 社会 工程 学 的 攻击 


命令 后 ,目标 主机 会 看 到 虚假 的 更 新 提示 ,目标 主机 单 击 更 


新 后 会 下 载 攻击 者 自 定义 的 文件 ,如 图 7-26 所 示 。 


P ser 0449ahha | Submt Bug | Logot 


Sio 


EAE 12168.1371 
EAT 12168.1371 
了 AE 102.168.17.1 
A E 2168.17.20 
EAS w2158.17.1 
EAH 2168.171 


[ng 779 


Gening Started a| Loos. | Current Browser l 
Deals | Logs | Commands | Roer | XssPays | pee | 


单 击 假 的 更 新 后 会 下 载 自 定义 的 文件 
图 7-26 Fake Flash Update 命令 


由 网 站 漏洞 扫描 与 渗透 攻击 工具 揭 黎 


执行 Fake Flash Update 命令 后 ,结果 如 图 7-27 所 示 。 


Welcome to The Butcher, your source of 
delicious meats. Please feel free to view our 
samples, sign up to our mailing-list or 
purchase our special BeEF-hamper! 


Our Meaty Friends Order Your BeEF-Hamper 


Delicious delicious hamper, straight to your door! 


Name: 
一 
Phone: | 


Address: 
[Credit Card: 


Buy buy! 


Sign up to our mailing list for delicious meats delivered straight 
ko your inbox! 


Password: 
Sign Up! 


假 的 更 新 提示 ， 单 击 该 按钮 后 ， 被 攻击 主机 
会 下 载 自 定义 的 文件 


图 7-27 执行 Fake Flash Update 命令 的 结果 


目标 主机 单 击 更 新 提示 后 下 载 攻击 者 自 定义 的 文件 ,如 图 7-28 所 示 。 
攻击 者 自 定义 文件 的 下 载 网 址 


TE | x 
- 
名 称 :  beef-masterzip ERr 未 知 大 小 


下 载 到 :| E\profession\Hadoop\2015Hadoc 到 64.2 GB v | 浏览 


COORRTNGILE 


安全 打开 取消 


图 7-28 用 户 单 击 更 新 后 下 载 相应 内 容 


772 Feke LasiPass 命令 


Fake LastPass 命令 执行 后 ,目标 主机 会 在 相应 的 浏览 器 页 面 上 看 到 假 的 密码 过 期 提 
示 , 当 目标 主机 重新 填写 密码 时 ,攻击 者 可 以 获得 相应 的 密码 ,如 图 7-29 所 示 。 
执行 Fake LastPass 命令 后 ,如 图 7-30 所 示 。 


773 Fee Niification Bar Arao 命令 


Fake Notification Bar 命令 执行 后 ,目标 主机 会 获得 虚假 信息 ,这 里 的 虚假 信息 是 自 
定义 的 ,如 图 7-31 所 示 。 
执行 Fake Notification Bar 命令 后 ,目标 主机 显示 如 图 7-32 所 示 。 
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被 攻击 的 主机 使 用 Fake LastPass 攻 击 命令 攻击 结果 


ser 0449apha | Submit Hun | Logout 


EAS 218171 
? A% 121681371 
M B 192 168.197.130 
OAE 1921681371 
OA 1218171 


Master Password 


| 


[V Remember Email 
口 Remember Password. 


[Z Show My Lastpass Vault After 
Login 


1 forgot my password, Helpl 


假 的 密码 过 期 提示 对 话 框 


nas to The Butcher, your source of 
图 7-30 执行 Fake LastPass 命令 的 结果 


1:3000/ui/panel 


图 Most Vistedv filotfensve Security Kali Linux Kali Docs 可 Explot-DB MArcrack-ng 


Hooked Browsers ] 
4 Cjonire Browsers 
4517001 
LITE | 
4 Cjoffine Browsers 
OAE m8171 
CE *)15171 Frelon Ifthe user 
70s ofcalon hey 
AS mmaya di Fale Notification Bar (ovone) Ate ato 
MELLE G Fale Notification Bar (Fretox) download a 
ens malcous Freto 
292388151 extension (y 
对 思量 192169171 detaut). 
8385 1158751 
@ Replace Videos (Fake Pugh) 
Simple Hijacker 
@ Tathatting. 
Pequester | © Ready 


图 7-31 Fake Notification Bar 命令 


《区 /地 网 站 漏洞 扫描 与 渗透 攻击 工具 揭 私 


Welcome to The Butcher, your source of 
delicious meats. Please feel free to view our 
samples, sign up to our mailing-list or 
purchase our special BeEF-hamper! 


Order Your BeEF Hamper 


Our Meaty Friends 


Delicious delicious hamper straight to your door! 


Name: 
Phone: 
Address: 
credit Card: 
Buy buyt 


Sign up to our mailing list for delicious meats delivered straight 
kto your inbox! 


oeg 


Password: 


Sign Up! | 


E 7-32 执行 Fake Notification Bar 命令 的 结果 


7.8 基于 Network 的 攻击 


781 Pot Scamer 命令 


Port Scanner 命令 用 于 端口 扫描 ,执行 该 命令 后 可 以 获得 目标 主机 的 活动 的 端口 号 ， 


执行 后 如 图 7-33 所 示 。 


782 Dated Ta 命令 
本 模块 检测 目标 浏览 器 是 否 使 用 Tor(The Onion Router, 洋 葱 路 由 器 ,是 实现 匿名 


PB BeF 0449apha | Submit Bug | Logout 
Hooked Browsers. 1| Gering Stated X Logs | Current Browser | 
| Onine Browsers f : 
aCgu001 | Deis | Logs | Commands | Fer | XssFays | pec | —- i —— 
二 4A 昌 127001 Module Tree Module Results History 
etd OMsc (8) i. dae label 
| e Browsers. 7 
= “et 0 2015-0... command 
C9 192.168.137.1 ODOSer Ba 1 
6 RS 192168.1371 @ Detect Soci Networks 27 Sun May 10 2015 184459 
È Detect Tor GMT+0800 (CST) 
? M5 192.168.137.1 eno aa data: port=HTTP: Port 1is 
© A E 192.168.137.130 à OPEN (cpmux 
EME uas: A Rani an 
SEN @ Fingerprint Network 
C883 192.168.137.1 @ DNS Enumeration 
@Png Sweep 
@ Por Scanner 
b OPersistence (4) 


7-33 Port Scanner 命令 


通信 的 自由 软件 ) ,执行 Detect Tor 命令 后 的 结果 如 图 7-34 Brzn 
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BeEF 0449-apha | Submit Bug | Logout 


| CurrentBrowser 


Hooked Browsers. " x 
Le C 
aaoo Desis | Logs | Commands | Rider | XssPays | pec | 


Sio |MeddeWee oo ModuleResusHistry Command resuts 日 


MY 12158751 i 


|a CSOtfine Browsers —] 
@AE 12158.17. PFE EAS 
698) 12158.1371 U Detect Tor 
9 ME 192.168.137.1 /& Ping Sweep (Java) 
5 E 192.168.137.130 ORCNAT Pinning 
EAE 102.158.17.1 Fingerprint Network 
LLLI Orekari 


Sun May 102015 1857 50 
GMT+0800 (CST) 
data: resut-Browser is not 
behind Tor 


E 7-34 Detect Tor 命令 


783 DNSEnumeaio 命令 


使 用 字典 来 定时 攻击 目标 主机 的 网 络 ,发 现 DNS 主机 名 ,执行 DNS Enumeration fir 


令 后 的 结果 如 图 7-35 所 示 o 


PB BeEF 0449apha | Submit Bug | Logout 


BAY 192 168 1371 


— — . HeedBowses | | CurrentBrowser. l 
4 Cj Onine Browsers 

4C317001 Xsspays | bec | 

ez Command resuts E 
EMY 192158751 F p NS 下 Sun May 102015 185831 

4 CSOfine Browsers | GMT+0800 (CST) 

SOAD 2015-0... command data: resut=Starting DNS 

192.168.137.1 1858 1 enumeration: 112 hostnames 
loaded 


2| SunMay 102015 185835 


? MS 192.168.137.1 
5 E 192.168.137.130 
LL LIII 
@R E 12168.1371 


GMT+0800 (CST) 
data: resut=internal DNS 
found: abc. 


3| SunMay 102015 185838 
GMT+0800 (CST) 
data: resut=internal DNS 
found: about 
4) SunMay 102015 1858:43 
GMT+0RN (CSTY 


Re-erecine command IE 


Basie | Requester | xs 


Æ 7-35 DNS Enumeration 命令 


7.9 基于 Misc 的 攻击 


791 Raw JavaSaipt 命令 


Raw JavaScript 命令 是 将 输入 的 JavaScript 代码 发 送 到 被 攻击 的 浏览 器 上 并 在 其 上 
执行 ,输入 的 JavaScript 代码 可 自 定义 ,如 图 7-36 所 示 。 

执行 Raw JavaScript 命令 如 图 7-37 所 示 。 
792 iFame Fet Logger 命令 


iFrame Event Logger 命令 创建 内 联 框架 ,iFrame 的 内 容 可 在 iFrame Src 中 自 定义 ， 
如 图 7-38 所 示 。 
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DEJ) 


和 [& 127.0.0.1:3000/ui/panel 


ost Visitedv JifOffensive Security Kali Linux Ñ Kali Docs RJExploit-DB Aircrack-ng 


È BeEF 0449apha | Submit Bug | Logout 


E ——— Gening Started =| togs | Current Browser. ] 
4 Onine Browsers = 
1527001 Detais | Logs | Commands | Rider | Xssfays | bec 
二 4 昌 127001 “Module Tree- . Module Results History 
4 COtfine Browsers > CORO ee E 
LI LEITET EN C . 
CMetaspiot (0) 0 2015-0... command 
ØRS 192 1681371 4 CjMsc (8) vs 1 
?9 AS 192.168.17.1 @ BozoCrack. 1 2015-0... command 
OA Bman @ Create Invisibie Iframe ye 2 
OAE 12160.1371 Posee uM ond 
eas i Frame Event Logger. ym 3 
men i Local Fie Theft 3 2015-0... command 
6 8T 192 158751 d Raw JavaScript ES 
4 20150. command 
ya 5 
5 2015-0... command 
ya 6 
&.— 2050 


y 7 
Welcome to The Butcher, your source of 
delicious meats. Please feel free to view our 
samples, sign up to our mailing-list or 
purchase our special BeEF-hamper! 


Our Meaty Friends. Order Your BeEF-Hamper 


Delicious delicious hamper, straight to your door! 


Name: 

Phone: 
Address: 
Credit Card: 


Buy by! 


9 cer 0449apha | Submt Bug | Logout 
s. |f Geni smes x] Logs | Currentbrowser 
| Deis | Logs | Commands | Fer | Xssfays | pec | 
Module Tree 
EAS 192 168751 LE 
Sorine Browsers SED 
@ AE inisisi Pow X 
6980158151 © Googie Search 
? AE 192.168.137.1 Ù Frame Event Logger 
© A E 192.168.137.130 © Frame Sritter 
€ 3831212171 uda 
[I LIC 人 PR 本 
ead Grai 
b CjNetwork (9) 
» CiPersistence (4) 
» C Phonegap (15) 
b C Social Engineering (14) 
[Basie | Requester LE) Reay 
也 可 以 修改 为 自 定义 的 路 径 : 
https://www.baidu.com/ 


Hb 7-38 iFrame Event Logger 命令 
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执行 Frame Event Logger 命令 后 ,目标 主机 如 图 7-39 所 示 。 
攻击 结果 


E LUE 


— Aress man- Quos sme» ad 


dH mon E RH WE 


图 7-39. 执行 Frame Event Logger 命令 的 结果 


793 Rdr, XssRas 和 Ipec 


Rider 主要 用 于 模拟 HTTP 的 原始 请 求 ,XssRays 用 于 检测 XSS 攻击 ,Ipec 主要 用 
于 命令 交互 ,如 图 7-40 所 示 。 


模拟 HTTP 模拟 HTTP 
原始 请 求 原始 请 求 用 于 命令 


H 


Nt 


Hooked Browsers. 
4 COnine Browsers. 
4 后 127001 
Sio: 


Hestory | Forge Request | Proxy 
4 CjOffine Browsers mc 


LI LIII E 

BAL i210 1571 [Hs S2 i68 Ys da 
? AY 192.168.137.1 qi 
8 0 E 192.168.137.130 
OAB uisi 
OAH 12168.1371 
EAT 192 168751 


图 7-40 其 他 命令 


7.10 本 章 小 结 


目前 ,用 户 利用 网 络 进行 购物 .银行 转账 支付 和 各 种 软件 下 载 ,企业 用 户 更 是 依赖 于 
互联 网 构建 他 们 的 核心 业务 ,对 此 , Web 安全 性 已 经 提高 到 一 个 空前 的 高 度 。 针 对 网 站 
的 攻击 愈演愈烈 ,频频 得 手 。Card Systems 是 美国 一 家 专门 处 理 信 用 卡 交易 资料 的 厂 
商 。 该 公司 为 万 事 达 (Master) 、 维 萨 (Visa) 和 美国 运通 卡 等 主要 信用 卡 组 织 提供 数据 外 
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包 服 务 , 负 责 审 核 商家 传 来 的 消费 者 信用 卡号 码 、 有 效 期 等 信息 ,审核 后 青 传送 给 银行 完 
成 付款 手续 。 这 家 公司 为 超过 10 万 家 企业 处 理 信用 卡 信息 ,每 年 业务 金额 超过 150 亿美 
元 。 这 家 已 有 15 年 历史 的 公司 怎么 也 没 想到 ,居然 有 黑客 恶意 侵入 了 它 的 电脑 系统 , 窃 
取 了 4000 万 张 信 用 卡 的 资料 。 这 些 资料 包括 持 卡 人 的 姓名 ,账户 号 码 等 。 这 是 美国 有 史 
以 来 最 严重 的 信用 卡 资料 泄密 事件 。 此 次 攻击 事件 不 仅 对 消费 者 和 公司 造成 了 巨大 的 损 
失 , 而 且 对 美国 的 信用 卡 产业 产生 了 严重 的 影响 。 

跨 网 站 脚本 攻击 能 让 黑客 模拟 合法 用 户 ,控制 其 账户 ,以 获得 敏感 数据 ,获取 系统 权 
限 、 获 取 机 密 信息 。 利 用 Web 应 用 漏洞 的 攻击 是 Web 安全 最 主要 的 威胁 来 源 , 只 有 对 应 
用 程序 本 身 进行 改造 才能 避免 攻击 。 然 而 ,发 现 这 些 应 用 漏洞 是 保证 安全 的 第 一 前 提 , 如 
何以 最 快 .最 有 效 的 方式 发 现 Web 应 用 本 身 的 漏洞 呢 ? 没有 高 效 的 检测 手段 ,安全 的 
Web 应 用 将 成 为 镜 中 花 \ 水 中 月 。 

BeEF 是 一 个 非常 强大 的 工具 ,在 渗透 测试 中 不 可 或 缺 , 从 获取 浏览 器 的 Cookie 到 获 
取 表 单 信息 ,从 获取 浏览 器 信息 到 获取 系统 信息 ,从 简单 界面 提示 到 欺骗 用 户 密码 过 期 或 
软件 需要 更 新 ,从 控制 目标 浏览 器 到 控制 目标 主机 ,无 一 不 显示 出 BeEF 的 强大 。 作 为 安 
全 测试 工具 ,BeEF 由 浅 到 深 地 找到 可 攻击 的 点 ,程序 员 可 以 根据 找 出 的 漏洞 对 应 用 程序 
本 身 进行 修改 ,修改 程序 以 后 ,再 使 用 BeEF 利用 XSS 漏洞 控制 目标 主机 的 浏览 器 进行 
攻击 ,如 此 迭代 ,直到 最 后 攻击 失败 为 止 ,使 最 终 的 系统 避免 攻击 。 


1. 简 述 BeEF 的 主要 功能 。 
2. 尝试 运用 BeEF 进行 各 种 渗透 攻击 测试 。 
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网 络 发 掘 与 安全 审计 工具 Nmap 


8.1 Nmap 简介 


Nmap( 网 络 映射 器 ) 是 由 Gordon Lyon 设计 ,用 来 探测 计算 机 网 络 上 的 主机 和 服务 
的 一 种 安全 扫描 器 。 为 了 绘制 网 络 拓扑 图 ,Nmap 发 送 特制 的 数据 包 到 目标 主机 ,然后 对 
返回 数据 包 进行 分 析 。Nmap 是 一 款 枚 举 和 测试 网 络 的 强大 工具 。 
811 Nrep 的 特点 


Nmap 包含 如 下 4 项 基本 功能 ,其 功能 架构 图 如 图 8-1 所 示 。 
(C 


端口 扫描 
MARDE 0 M 00 E 
版 本 检测 


Į 


操作 系统 检测 


8-1 Nmap 功能 架构 图 


(1) 主机 发 现 (host discovery) : 探测 网 络 上 的 主机 ,例如 列 出 响应 TCP 和 ICMP 请 
ok ,开放 特别 端口 的 主机 。 

(2) 端口 扫描 (port scanning): 探测 目标 主机 所 开放 的 端口 。 

(3) 版 本 检测 (version detection): 探测 目标 主机 的 网 络 服务 ,判断 其 服务 名 称 及 版 
本 号 。 

(4) 操作 系统 检测 (operating system detection) : 探测 目标 主机 的 操作 系统 及 网 络 设 
备 的 硬件 特性 。 

这 4 项 功能 之 间 存 在 大 致 的 依赖 关系 (通常 情况 下 是 顺序 关系 ,但 特殊 情况 应 另外 
考虑 ) ,首先 需要 进行 主机 发 现 , 随 后 确定 端口 状况 ,然后 确定 端口 上 运行 的 具体 应 用 程序 
与 版 本 信息 ,最 后 可 以 进行 操作 系统 的 检测 。 而 在 4 项 基本 功能 的 基础 上 ,Nmap 提供 防 
火 墙 与 IDSCIntrusion Detection System, 入 侵 检测 系统 ) 的 规避 技巧 ,可 以 综合 应 用 到 4 个 
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基本 功能 的 各 个 阶段 ;另外 ,Nmap 提供 强大 的 NSE(Nmap Scripting Language. Nmap 脚 
本 语言 ) 脚 本 引擎 功能 ,脚本 可 以 对 基本 功能 进行 补充 和 扩展 。 


812 Nrep 的 优点 


Nmap 的 优点 如 下 。 

d) 灵活 : 支持 数 十 种 不 同 的 扫描 方式 ,支持 多 种 目标 对 象 的 扫描 。 

(2) 强大 : Nmap 可 以 用 于 扫描 互联 网 上 大 规模 的 计算 机 。 

(3) 可 移植 : 支持 主流 操作 系统 : Windows/Linux/UNIX/MacOS 等 ;源码 开放 , 方 
便 移植 。 

(4) 简单 : 提供 默认 的 操作 能 覆盖 大 部 分 功能 。 基 本 端口 扫描 使 用 nmap targetip für 
令 ,全 面 的 扫描 使 用 nmap -A targetip 命令 。 

(5) 自由 : Nmap 作为 开源 软件 ,在 GPL License 的 范围 内 可 以 自由 使 用 。 

(6) 文档 丰富 : Nmap 官网 提供 了 详细 的 文档 描述 。Nmap 作者 及 其 他 安全 专家 编 
写 了 多 部 Nmap 参考 书籍 。 

(7) 社区 支持 : Nmap 背后 有 强大 的 社区 团队 支持 。 

(8) 赞誉 有 加 : Nmap 获得 很 多 奖励 ,并 在 很 多 影视 作品 中 出 现 ( 如 (黑客 帝国 2》、 
《 虎 胆 龙 威 4) 等 )。 

(9) 流行 : 目前 Nmap 已 经 被 成 千 上 万 的 安全 专家 列 为 必 备 的 工具 之 一 。 


813 Nmep 的 典型 用 途 


一 般 情况 下 ,Nmap 用 于 列举 网 络 主机 清单 ,管理 服务 升级 调度 、 监 控 主 机 或 服务 运 
行 状况 。Nmap 可 以 检测 目标 机 是 否 在 线 .端口 开放 情况 ,检测 运行 的 服务 类 型 及 版 本 信 
B ,检测 操作 系统 与 设备 类 型 等 信息 。 具 体 概括 如 下 : 

(1) 通过 对 设备 或 者 防火 墙 的 探测 来 审计 它 的 安全 性 。 

(2) 探测 目标 主机 所 开放 的 端口 。 

(3) 网 络 存储 、 网 络 映射 .维护 和 资产 管理 (这 个 用 途 有 待 深入 ) 。 

(4) 通过 识别 新 的 服务 器 审计 网 络 的 安全 性 。 

(5) 探测 网 络 上 的 主机 。 


8.2 Nmap € X€ 


本 书 只 介绍 Nmap 6. 47 Windows 标准 版 的 相关 内 容 。 带 有 GUI 的 Zenmap 使 得 新 
接触 Nmap 的 用 户 更 容易 上 手 , 同 时 也 使 得 很 多 高 级 功能 不 用 特别 记 住 复杂 的 配置 选项 。 
和 Nmap 一 样 , Zenmap 也 支持 各 种 主流 操作 系统 平台 。 下 面 也 仅 针 对 Windows 和 
UNIX/Linux 平 台 下 的 安装 进行 说 明 。 

注意 : 默认 安装 Zenmap 就 包含 了 其 运行 的 所 有 条 件 , 所 以 不 用 提前 安装 Nmap 或 
者 winpacap 等 。 
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821 安装 步骤 (Wndows) 


下 面 介绍 整个 安装 过 程 。 
CD 首先 下 载 安装 包 nmap-6. 47-setup. exe, 地址 为 http://nmap. org/download. 
html。 下 载 文件 如 图 8-2 HZR 


Microsoft Windows bina J 


Naap runs on all versions of Windows since NI, including 2K, 
XP, Vista, Windows 7, and Server 2003/2008. Please read the 
jWindows section of the Install Guide for limitations and 
nstallation instructions for the Windows version of Nmap. In 
particular, read about the special Windows 2000 (Win2K) 
(dependencies if you use that platform. You can choose from a 
self-installer (includes dependencies and also the Zenmap GUI) 
or the much smaller command-line zip file version. 


The Nmap executable Windows installer can handle WinPcap 
installation, registry performance tweaks, and decompressing 
| the executables and data files into your preferred location. 
It also includes the Zenmap graphical frontend. Skip all the complexity of the Windows 
zip files with a self-installer: 


Latest release self-installer: nmap-6.4]-setup. exe 


Hs2 安装 文件 


(2) 双击 “nmap-6. 47-setup. exe" 文 件 开始 安装 ,进入 接受 协议 界面 , 单 击 T Agree 按 
钮 ,如 图 8-3 所 示 。 
'e Nmap Setup 用 有 TA (els 


License Agreement 
Please review the icense terms before nstaling Nmap. [$7 


Press Page Down to see the rest of the agreement. 


一 Desaibes the terms under which Nmap is distributed. A copy of the GNU (3 
is appended to this file. 


TANT NMAP LICENSE TERMS 


Nmap Security Scanner is (C) 1996-2014 Insecure. Com LLC. Nmap is also a 

registered trademark of Insecure.Com LLC. This program is free software; you may 
redistribute and/or modify it under the terms of the GNU General Public License as 

by the Free Software Foundation; Version 2 ("GPL"), BUT ONLY WITH ALL OF 
CLARIFICATIONS AND EXCEPTIONS DESCRIBED HEREIN. This guarantees your 。 ~ 


Tf you accept the terms of the agreement, dick I Agree to continue. You must accept the 
| agreement to install Nmap. 


[aee 


图 8-3 协议 界面 


(3) 选择 配置 文件 ,默认 全 选 ,然后 单 击 Next 按钮 ,如 图 8-4 所 示 。 

(4) 进入 选择 安装 目录 界面 ,可 以 单 击 Browser 按钮 , 自 定义 安装 目录 , 单 击 Install 
按钮 进入 下 一 步 ,如 图 8-5 所 示 。 

在 这 一 步 , 可 以 选择 Desktop Icon 创建 一 个 桌面 图 标 ,选择 Start Menu Folder 创建 
一 个 开始 菜单 图 标 。 当 然 也 可 以 两 者 都 不 选 ,桌面 图 标 和 快捷 菜单 图 标 将 不 被 创建 ,如 
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D MM 
Choose Components 
Choose which features of Nmap you want to install. 全 


Check the components you want to install and uncheck the components you don't want to 
install. Ci Next to continue. 


Description 


Postion your mouse 


overa 

2 seeks 
[V] Ncat (Modern Netcat r| 
[V] Náff (Scan compariso 


Space required: 72.0MB E Nng Padet general = 
* ama] , 


Select components to install: 


Nullsoft Install System v2.46 


[sm nent) [eme] 


图 8-4 选择 配置 文件 ,默认 全 选 


局 Nmap Setup. - 


Choose Install Location 
Choose the folder in which to install Nmap. 


Setup wil instal Nmap in the folowng folder, To nstal n a different folder, cick Browse and 
select another folder. Cick Install to start the instalation. 


Destination Folder 
D:\Program Files map. 


Space required: 72.0MB 
Space available: 169.768 


Nullsoft Install System v2.46 


图 8-5 选择 安装 路 径 
图 8-6 所 示 。 
(5) 确认 一 下 所 有 安装 选项 , 单 击 Finish 按钮 完成 安装 ,如 图 8-7 所 示 。 
822 检查 安装 


进入 命令 提示 符 (cmd) ,输入 nmap, 可 以 看 到 Nmap 的 帮助 信息 ,说明 安装 成 功 , 如 
图 8-8 所 示 。 
823 如 何在 Linx 下 安装 Nrep 


现在 大 部 分 Linux 的 发 行 版 本 ,如 Red Hat, CentOS, Fedoro, Debian 和 Ubuntu. Æ 
其 默认 的 软件 包 管理 库 ( 即 Yum 和 APT) 中 都 自 带 了 Nmap, 这 两 种 工具 都 用 于 安装 和 
管理 软件 包 和 更 新 。 在 发 行 版 上 安装 Nmap 具体 使 用 如 下 命令 。 


第 8 章 ， 网 络 发 所 与 安全 审计 工具 hp Vg 


后 ps I e 
Create Shortcuts 
| 
“| Start Menu Folder 
V] Desktop Icon 
Bak [Next> | [Cenc 
图 8-6 创建 桌面 图 标 
(9 Nmap Setup Me 
Finished 
Thank you for nstalng Nmap (5) 
Nmap has been nstaled on your computer. 
Clck Finish to dose this wizard. 
|_Fnsh ance 


图 8-7 完成 安装 


国 853253: C\Windows\system32\cmd.exe 


zm ,Dnnap 
LN http://nnap.org 
和 sage: nmap [Scan Type(s)] [Option 
ECIFICATION 
hostnames, IP addre 


ne.nnap.org, microsoft 


168.0.1; 19.8.9. 
inputfilename?: Input f hosts/networl 
nun h Choose randon target 
lude <hosti[,host2][,host3],...>: Exclude ha 
xc ludef i xclude file): Exclude 


SCOUE 


ts/network 
st fron file 


inply list target 
disable port scan 
ts as online kip ho 
PS/PA/PU/PY [port list]: TCP SYN/RCK, UDP or P d y to given port 
PP/PM: ICMP echo, timestamp, and netma a e: 


IP Protocol Ping 


olution/füluays re onetines ] 


each host 


SCAN TECHNIQUE 
S/sT/sR/sM/sM: 
U: UDP Scan 


ACKWindou/Mainon 


图 8-8 Nmap 帮助 信息 
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# yu install rmap[on Fed Hat based systems] 
$ sudo apt- get install map [on Debian based systems] 


8.3 Nmap 图 形 界面 使 用 方法 


Zenmap 是 Nmap 官方 提供 的 图 形 界面 ,通常 随 Nmap 的 安装 包 发 布 。Zenmap 是 用 
Python 语言 编写 的 开源 免费 的 图 形 界面 ,能 够 运行 在 不 同 操作 系统 平台 上 (Windows/ 
Linux/UNIX/Mac OS 等 )。Zenmap 旨 在 为 Nmap 提供 更 加 简单 的 操作 方式 。 简 单 常用 
的 操作 命令 可 以 保存 成 为 profile, 用 户 扫 描 时 选择 profile 即 可 ;可 以 方便 地 比较 不 同 的 
扫描 结果 ;提供 网 络 拓扑 结构 (networktopology) 的 图 形 显示 功能 。 

注意 ; 请 自己 通过 各 种 设备 (如 虚拟 机 、 手 机 等 ) 来 搭建 模拟 实际 的 网 络 环境 ,请 在 道 
德 和 法 律 的 允许 下 进行 测试 。 

在 Zenmap 中 , Profile 栏 用 于 选择 Zenmap 默认 提供 的 Profile 或 用 户 创 建 的 
Profile; Command 栏 用 于 显示 选择 Profile 对 应 的 命令 或 者 用 户 自行 指定 的 命令 ; 
Topology 选项 卡 用 于 显示 扫描 到 的 目标 机 与 本 机 之 间 的 拓扑 结构 。 


831 Zenmep 的 预览 及 各 区 域 简介 
如 图 8-9 所 示 ,Zenmap 界面 简单 ,操作 方便 ,输入 输出 界面 非常 清楚 ,便于 用 户 操作 。 


扫描 结果 输出 区 域 


图 8-9 Nmap 图 形 界面 


1. 菜单 栏 区 域 

菜单 栏 区 域 汇集 Zenmap 的 各 种 功能 的 操作 命令 。 

(1) Scan 菜单 ,包括 新 建 或 打开 扫描 文件 .保存 扫描 结果 等 操作 ,如 图 8-10 所 示 。 

(2) Tools 菜单 ,包括 扫描 结果 对 比 、 搜 索 扫描 结果 和 过 滤 主 机 操作 ,如 图 8-11 所 示 。 

(3) Profile 菜单 ,包括 新 建 和 编辑 预 配置 命令 ,如 图 8-12 所 示 。 

(4) Help 菜单 ,包括 帮助 信息 、Bug 报告 等 操作 。 在 使 用 Nmap 过 程 中 ,如 果 出 现 
Bug, 可 以 在 这 里 报告 ,如 图 8-13 所 示 。 


第 8 章 ”网络 发 据 与 安全 审计 工具 Np e^ 


ET on EL 
Q Repotabug — Cti4B fse scal 
: 1.7 About 


Æ 8-12 Profile 菜单 功能 Æ 8-13 Help 菜单 功能 


2. 快速 扫描 配置 区 域 

快速 扫描 配置 区 域 用 于 日 常 扫描 的 快速 配置 , Target 用 于 输入 目标 主机 地 址 ， 
Profile 用 于 选择 用 户 自 行 配置 的 文件 进行 扫描 ,Command 用 于 直接 输入 扫描 命令 进行 
扫描 ,如 图 8-14 所 示 。 


m | v | Profle: [intense scan | sean] coca 
es nmap -T4 -A v 


图 8-14 快速 扫描 配置 区 域 


3. 任务 区 域 
此 处 列 出 所 执行 的 任务 列表 ,通过 此 处 对 任务 进行 切换 查看 。 单 击 底部 的 Filter Hosts 
按钮 可 以 出 现 筛选 列表 ,用 于 在 繁多 的 任务 列表 中 定位 要 关注 的 主机 ,如 图 8-15 所 示 。 
| | 


hosts shown Host Fiter: | | 由 


图 8-15 任务 区 域 


4. 扫描 结果 输出 区 域 

扫描 结果 显示 区 域 ,包含 最 常用 到 的 扫描 结果 显示 (Nmap Output ,扫描 的 端口 和 主 
机 (Ports/Hosts) ,扫描 主机 拓扑 (Topology) ,扫描 主机 的 详细 信息 (Host Detail) URA 
描 命令 的 详细 说 明 (Scans) 。 


832 简单 扫描 流程 
方法 一 : 填写 扫描 目标 ,选择 扫描 预 配置 类 型 ,根据 需要 修改 扫描 详细 命令 ,执行 
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扫描 。 

方法 二 : 直接 在 命令 文本 框 中 输入 扫描 命令 ,执行 扫描 。 

这 两 种 方法 效果 是 等 同 的 ,在 扫描 预 置 类 型 里 面 选择 的 配置 项 其 实 就 是 在 选择 命令 
文本 框 中 输入 的 扫描 命令 ,如 图 8-16 所 示 。 


图 8-16 预 配置 文件 配置 Scan 命令 


预 配置 文件 设置 好 以 后 ,用 户 在 快速 扫描 区 域 的 Profile 下 拉 列 表 中 选择 自己 配置 的 
文件 ,Nmap 会 按 用 户 自 行 配置 的 命令 扫描 主机 ,如 图 8-17 所 示 。 


Target 


Intense scan plus UDP : 
ED 


E Details 


OS 4 Host Intense scan, no ping 
Ping scan 

Quick scan. 

Quick scan plus 
Quick traceroute 
Regular scan 


图 8-17 选择 配置 文件 执行 扫描 
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833 进 阶 扫 描 流程 


如 果 希 望 自 定义 的 扫描 可 以 重复 利用 ,那么 需要 将 自己 编写 的 扫描 指令 存储 为 预 配 
置 ,自然 就 会 出 现在 预 配置 下 拉 列 表 中 ,以 后 可 以 很 方便 地 使 用 。 当 然 ,用 户 也 可 以 对 系 
统 自 带 的 预 配置 项 进行 修改 ,以 更 适应 自己 的 需要 。 下 面 说 明 预 配置 制作 的 方法 。 

1. 创建 自己 的 预 配置 项 

选择 Profile New Profile or Command 命令 ,打开 Profile 编辑 器 ,然后 就 可 以 在 该 
编辑 器 中 创建 预 配置 项 ,各 配置 项 功能 可 参考 选项 右 侧 的 Help 说 明 ,从 Scan 到 Timing 
都 是 配置 项 内 容 , 用 户 根据 自己 的 需要 熟悉 
每 个 配置 项 内 容 ,选择 适合 本 主机 扫描 的 配 | Potes rone oa 
置 项 ,如 图 8-18 所 示 。 图 8-18 预 配置 菜单 功能 

为 了 方便 以 后 重复 使 用 此 预 配置 文件 ， 
新 建文 件 时 ,可 详细 描述 此 配置 文件 扫描 功能 ,方便 以 后 使 用 ,也 方便 与 他 人 共享 ,如 
图 8-19 所 示 。 


Profile name 


This is how the profile wil be 
identifed in the drop-down 
combo box in the scan tab. 


图 8-19 预 配 置 方法 


填写 扫描 对 象 , 以 后 不 同 主机 使 用 此 配置 文件 扫描 功能 时 ,可 在 此 页 面 的 Targets 修 
改 目标 主机 ,此 配置 文件 便 可 以 再 使 用 ,其 他 命令 就 可 根据 需要 任意 选择 。 如 果 对 某 个 配 
置 项 功能 不 是 很 明白 ,可 参考 右 侧 Help 选项 帮助 理解 ,如 图 8-20 所 示 。 

配置 过 程 中 可 以 在 顶部 的 命令 栏 中 看 到 详细 的 命令 内 容 , 等 所 有 选项 配置 完毕 后 , 单 
击 右 下 角 的 Save Changes 按钮 即 可 。 然 后 在 预 配置 下 拉 列 表 中 就 可 以 看 到 自 定义 的 预 
配置 文件 名 。 

2. 修改 已 有 的 预 配置 项 

在 Profile 下 拉 列 表 中 选择 待 修改 的 选项 ,然后 选择 Profile? Edit Selected Command 
命令 , 剩 下 的 和 创建 预 配置 项 没有 什么 区 别 。 
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Profile name 


This is how the profile will be 
identifed in the drop-down 
combo box in the scan tab. 


IEEE 


图 8-20 扫描 设置 


834 扫描 结果 的 保存 


扫描 任务 完成 后 ,可 以 将 扫描 结果 保存 下 来 供 以 后 分 析 使 用 ,也 可 以 用 来 对 扫描 任务 
的 结果 进行 对 比 。Zenmap 提供 的 扫描 结果 有 两 种 预定 义 的 保存 格式 : XML 格式 和 
Nmap 格式 。 其 中 , Nmap 格式 是 纯 文本 格式 ,可 以 直接 使 用 文本 编辑 器 打开 查看 ;而 
XML 格式 能 够 存储 更 多 的 信息 ,以 后 可 以 在 Zenmap 中 打开 还 原 使 用 。 建 议 保存 格式 选 
FE XML, 如 图 8-21 所 示 。 

当然 ,如 果 有 多 个 任务 需要 保存 ,可 以 直接 选择 Scan Save All Scans to Directory 
命令 。 
以 后 在 回顾 的 时 候 直 接 选 择 Scan~>Open Scan / Open Scan in This Window 命令 就 
可 以 打开 此 次 扫描 结果 。 


835 扫描 结果 对 比 


选择 Tools Compare Results 命令 打开 扫描 结果 对 比 窗 口 ,如 图 8-22 所 示 。 

在 A Scan fll B Scan 中 分 别 打开 需要 对 比 的 两 个 扫描 结果 ,下 方 展示 对 比 结果 。 颜 
色 标 记 A.B 两 次 扫描 结果 的 区 别 : 红色 表示 A 结果 存在 ,但 是 B 结果 不 存在 ,比如 A 结 
果 存 在 1434 号 UDP 端口 ,但 是 也 结果 不 存在 这 个 端口 ;而 绿色 则 表示 B 结果 存在 ,A 结 
果 不 存在 ,比如 B 的 操作 系统 详细 信息 里 面包 含 Windows 2000 SP4, 但 是 A 结果 中 不 存 
在 ,单独 打开 两 个 扫描 结果 ,也 能 看 出 其 中 的 区 别 。 


836 搜索 扫描 结果 


选择 Tools— Search Scan Results 命令 之 后 打开 扫描 结果 查询 窗口 ,该 窗口 用 来 对 已 
完成 的 历史 扫描 任务 进行 查询 。 查 询 选 项 非常 丰富 ,支持 条 件 组 合 查 询 , 如 图 8-23 所 示 。 


p 6.47 scan initiated Wed Dec 24 09:22:42 2014 as: nmap -sS -sU -T4 -A -v -PE 


| testasp.vulmweb.com, wvps87-230-29-167.dedicated.hosteurope.de (87.230.29.167): 


图 8-21 保存 扫描 结果 


| Host is up. 


| PORT 
80/tcp 


135/tcp 
139/tcp 
161/tcp 
445/tcp 
593/tcp 
1030/tcp open —— msrpc Microsoft Windows RPC 


shown: 998 open|filtered ports, 988 closed ports 


STATE SERVICE VERSION 

open http Microsoft IIS httpd 6.0 
filtered msrpc 

filtered netbios-ssn 

filtered snmp 

filtered microsoft-ds 

filtered http-rpc-epmap 


3389/tcp open — ms-wbt-server Microsoft Terminal Service 
4444/tcp filtered krb524 
6346/tcp filtered gnutella 


H822 对 比 扫描 结果 
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u—-- peer] 
san Be 


Scan Date - 
nmap testasp.vulnweb.com 2015-05-16 15:10 

nmap -sV testasp.vulnweb.com 2015-05-16 16:22 

nmap ~v ~ testasp.vulnweb.com 2015-05-16 16:25 

nmap -sn testasp.vulnweb.com 2015-05-16 16:46 ! 
nmap ~ testasp.vulnweb.com 2015-05-16 16:48 

nmap -p50-500 testasp.vulnweb.com 2015-05-16 16:55 

nmap -p 50-500 testasp.vulnweb.com 2015-05-16 16:56 

nmap -p 50-500 testasp.vulnweb.com 2015-05-16 16:59 

nmap -p 80,443,22,21,8080,25,53 testasp.vulnweb.com 2015-05-16 17:03 

nmap -O -fuzzy --osscan-guess testasp wulnweb com 2015-05-17 10:56 

nmap -O -Pn demo.testfire.net 2015-05-17 10:36 

nmap -A testasp.vulnweb.com 2015-05-17 11:35 


Matched 13 out of 13 scans. S cose Harena | Eon | 


图 8-23 搜索 扫描 结果 


单 击 右上 角 的 蓝 色 叹 号 按钮 即 可 打开 支持 的 搜索 语句 说 明 ,如 图 8-24 所 示 。 


Entering the text into the search performs a keyword search - 
the search string is matched against the entire output of each 
scan. 


To refine the search, you can use operators to search only 
within a specific part of a scan. Operators can be added to the 
search interactively if you click on the Expressions button, or 
you can enter them manually into the search field. Most 
operators have a short form, listed. 


profile: (pr) - Profile used. 

target: (t) - User-supplied target, or a rDNS result. 

option: (0:) - Scan options. 

date: (d) - The date when scan was performed. Fuzzy 
matching is possible using the "-" suffix. Each "~" broadens 
the search by one day on "each side" of the date. In addition, 

it is possible to use the "date-n* notation which means "n days 
ago". 

after: (a) - Matches scans made after the supplied date (YYYY- 
MM-DD or -r). 

before (b:) - Matches scans made before the supplied date 
(YYY-MM-DD or -r). 

os: - All OS-related fields. 

scanned: (sp:) - Matches a port if it was among those scanned. 
open: (op:) - Open ports discovered in a scan. 

dosed: (cp) - Closed ports discovered in a scan. 

filtered: (fp:) - Filtered ports discovered in scan. 

unfiltered: (ufp:) - Unfiltered ports found in a scan (using, for 
example, an ACK scar). 

openlfiltered: (ofp:) - Ports in the "open[fitered" state. 
closed|filtered: (cfp:) - Ports in the "closed|filtered" state. 
service: (s) - All service-related fields. 

inroute: (ir) - Matches a router in the scan's traceroute output. 


图 8-24 帮助 说 明 


单 击 Expressions 按钮 可 添加 或 删除 搜索 条 件 ,形成 组 合 查询 ,如 图 8-25 所 示 。 
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nmap testasp.vulnweb.com 


nmap -sV testasp.vulnweb.com 


nmap ~v ~ testasp.vulnweb.com 
nmap -sn testasp.vulnweb.com 

nmap ~ testasp.vulnweb.com 

nmap -p50-500 testasp wulnweb com 
nmap -p 50-500 testasp.vulnweb.com 
nmap -p 50-500 testasp.vulnweb.com 


nmap -p 80,443,22.21,8080,25,53 testasp.vulnweb.com 2015-05-16 17:03 
nmap -O -fuzzy -osscan-guess testasp.vulnweb.com 2015-05-17 10:56 


nmap -O -Pn demo.testfire.net 
Matched 13 out of 13 scans. 


2015-05-16 15:10 
2015-05-16 16:22 
2015-05-16 16:25 
2015-05-16 16:46 
2015-05-16 16:48 
2015-05-16 16:55 
2015-05-16 16:56 
2015-05-16 16:59 


2015-05-17 10:36 


图 8-25 Expressions 功能 说 明 


837 过 滤 主 机 


选择 菜单 Tools>Filter Hosts 命令 或 者 直接 单 击 窗口 左下 角 Filter Hosts 按钮 ,在 
出 现 的 过 滤 主 机 输入 框 中 输入 需要 查看 的 主机 TP 即 可 过 滤 出 希望 重点 查看 的 主机 (一 般 


在 有 较 多 扫描 任务 时 使 用 ) ,如 图 8-26 所 示 。 


hosts shown Host Filter: 


图 8-26 过 滤 主 机 


8.4 Nmap 命令 操作 


对 于 学 习 Web 安全 测试 的 人 员 来 说 , 单 看 前 面 的 内 容 , 还 不 足以 理解 Nmap 的 好 处 ， 


下 面 就 通过 实际 操作 来 展示 前 面 所 学 的 内 容 。 


841 确认 端口 状况 


Nmap 所 识别 的 6 个 端口 状态 如 下 : 


(1) open( 开 放 的 ) 。 
(2) closed( 关 闭 的 ) 。 


(3) filtered( 被 过 滤 的 ): 由 于 包 过 滤 阻 止 探测 报 文 到 达 端口 ,Nmap 无 法 确定 该 端口 


是 否 开放 。 


(4) unfiltered( 未 被 过 滤 的 ): 该 状态 意味 着 端口 可 访问 ,但 Nmap 不 能 确定 它 是 开 
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(5) open| filtered (开放 或 者 被 过 滤 的 ): 当 无 法 确定 端口 是 开放 还 是 被 过 滤 的 ， 
Namp 就 把 该 端口 划分 成 这 种 状态 。 

(6) closed |filtered( 关 闭 或 者 被 过 滤 的 ): 该 状态 用 于 Nmap 不 能 确定 端口 是 关闭 的 
还 是 被 过 滤 的 。 它 只 可 能 出 现在 IPID Idle 扫描 中 。 

Nmap 默认 发 送 一 个 arp 的 ping 数据 包 , 来 探测 目标 主机 在 1 一 10000 范围 内 所 开放 
的 端口 。 

如 果 直 接 针对 某 台 计算 机 的 IP 地 址 或 域名 进行 扫描 ,那么 Nmap 对 该 主机 进行 主机 
发 现 过 程 和 端口 扫描 。 该 方式 执行 迅速 ,可 以 用 于 确定 端口 的 开放 状况 。 

命令 语法 : 

map < 目标 主机 的 IP 地 址 > 

例如 : 


mep testasp.vulnweb.com 


扫描 结果 如 图 8-27 所 示 。 


Scan Tools Profle Help 


Target |testaspwimwebcom — [v] Profile: | TE] key [cral| 


k nmap testasp.vulnweb.com 


Sees | | Nmap Output Ports Hosts | Topology | Host etsi | scans 
OS * Host nmap testasp.vulnweb.com In E [Details] 


Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-16 15:10 
中 国标 准时 间 


Nmap scan report for testasp.vulnweb.com (87.230.29.167) | 
Host is up (8.25s latency). 
FONS record for 87.230.29.167: 

s à 'urope.de 


Not shown: 992 closed ports 
PORT STATE SERVICE 
BO/tcp open 
135/tcp open 
139/tcp open 
1033/tcp open 
1034/tcp open 
1720/tcp filtered 


Naap done: 1 IP address (1 host up) scanned in 23.52 seconds 


图 8-27 扫描 结果 


扫描 结果 分 析 : 这 条 命令 通过 启动 一 个 TCP 端口 扫描 ,检查 目标 主机 上 的 端口 和 状 
态 。 扫 描 结果 包括 主机 的 IPv4 地 址 信息 testasp. vulnweb. com (87. 230. 29. 167) 和 PTR 
记录 。 端 口 信息 呈现 的 是 端口 号 和 状态 。 标 记 为 open 的 代表 的 是 目标 主机 运行 服务 器 
的 端口 。 标 记 为 filtered 的 代表 的 是 被 过 滤 的 端口 ,因为 探测 报 文 没 有 到 达 端 口 ,Nmap 
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无 法 确定 端口 是 否 开放 。 


到 这 里 ,或 许 读者 会 觉得 非常 奇怪 , Nmap 探测 目标 主机 在 1 一 10000 范围 内 所 开放 
的 端口 ,为 什么 输出 的 结果 显示 992 个 端口 关闭 ,7 个 开放 ,1 个 过 滤 。 因 为 Nmap 默认 扫 
描 只 扫描 1000 个 最 可 能 开放 的 端口 ,如 果 想 扫描 全 部 的 端口 ,可 以 使 用 命令 nmap -p -0 
testasp. vulnweb. com, 这 样 探 测 的 时 间 会 非常 长 ,探测 最 可 能 开放 的 1000 个 端口 应 该 也 
足够 了 。 想 要 更 快 确定 开放 端口 ,还 可 以 在 配置 中 加 上 -F 扫描 最 可 能 开放 的 100 个 
端口 。 

预 配置 文件 配置 好 以 后 ,即使 是 最 简单 的 端口 扫描 ,Nmap 也 能 做 很 多 事情 。 在 配置 
文件 中 可 以 选择 各 种 端口 扫描 方式 ,包括 TCP SYN 扫描 ,TCP Connect 扫描 和 秘密 扫描 
等 方式 ,TCP Connect 扫描 对 操作 者 没有 权限 要 求 ,扫描 速度 快 ,但 是 容易 被 写 人 日 志文 
件 ,其 他 扫描 方式 就 相对 隐蔽 ,Nmap 用 户 可 根据 具体 情况 选择 合适 的 扫描 方式 来 确定 目 
标 主机 的 端口 状态 ,以 方便 进一步 的 攻击 。 


842 返回 详细 结果 


端口 扫描 还 有 更 具体 的 扫描 方式 ,比如 详细 扫描 过 程 。 
命令 语法 : 
mep -v< 目 标 主机 的 eds» 


介绍 : -v 参数 设置 对 结果 的 详细 输出 。 
例如 : 


map - v testasp.vulnweb.cam 


扫描 结果 如 图 8-28 所 示 。 
扫描 结果 分 析 : 此 命令 也 是 进行 端口 扫描 ,只 是 结果 不 是 单纯 的 只 输出 端口 名 和 状 
态 , 还 包含 端口 扫描 的 详细 内 容 ,这 不 是 版 本 探测 ,需要 与 后 面 讲 到 的 -sV 命令 区 别 开 来 。 


843 自 定义 扫描 

Nmap 默认 扫描 目标 1 一 10000 范围 内 的 端口 号 。 可 以 通过 参数 -p 来 设置 将 要 扫描 
的 端口 号 。 

命令 语法 : 

map -pèn HERI) < 目标 主机 下 地 址 > 


解释 : 端口 范围 默认 是 1~10000。 
例如 ,扫描 目标 主机 50~500 号 端口 ,命令 为 


mep - p50- 500 testasp.vulnweb.cam 

扫描 结果 如 图 8-29 所 示 。 

扫描 结果 分 析 : 一 共 扫描 451 个 端口 。 其 中 有 448 个 端口 是 关闭 的 ;3 个 端口 是 开放 
的 ,端口 号 为 80、135、139, 服 务 分 别 为 http .msrpc netbios-ssn。 


a) 
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Scan Tools Profle Help 


Target. |testaspvulnwebcom 


Command: [nmap -v testasp.vulnweb.com 


Nmap Output |Ports / Hosts | T Host Details | Scans 
(OS « Host nmap ~v testaspvulnwebcom 
W testaspwunwebe 


Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-16 16:48 中 国标 准时 间 
Initisting Ping Scan at 16:48 

Scanning testasp.vulnweb.com (87.239.29.167) [4 ports] 

Completed Ping Scan at 16:48, @.44s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of 1 host. at 16:48 

Completed Parallel DNS resolution of 1 host. at 16:48, 0.905 elapsed 


Scanning testasp.vulnweb.com (87.238.29.167) [1000 ports] 
Discovered open port 135/tcp on 87.230.29.167 

Discovered open port 80/tcp on 87.230.29.167 

Discovered open port 3389/tcp on 87.230.29.167 


Discovered open port 139/tcp on 87.230.29.167 
Discovered open port 1933/tcp on 87.230.29.167 
Discovered open port 8443/tcp on 87.230.29.167 
Discovered open port 1034/tcp on 87.230.29.167 
Completed SYN Stealth Scan at 16:48, 29.53s elapsed (1000 total ports) 


Host is up (0.25s latency). 
FONS record for 87.230.29.167: wvps87-230-29-167 .dedicated.hosteurope.de 
Not shown: 992 closed ports 
PORT — STATE — SERVICE 
Sé/tcp open http 

135/tcp open  msrpe 

139/tep open  netbios-ssn 
1033/tcp open — netinfo 
1034/tcp open — zincite-a 
1720/tcp filtered H.323/0.931 
3389/tcp open — ms-wbt-server 
8443/tcp open — https-alt 


Read cata files from: D:\Program FilesWmap 
Nmap cone: 1 IP address (1 host up) scannec in 30.53 seconds 
Raw packets sent: 1049 (46.132KE) | Rcvd: 1003 (40.136k8) 


图 8-28 详细 输出 扫描 结果 


Scan Tools Profile Help 


Target | testasp.vulnweb.com 


Command: [nmap -p 50500 testaspivulnweb.com 


[ates ric.) [map ows 


OS 4 Host 


W testaspvulnweb.e | 
Starting Nmap 6.47 ( nttp://nmap.org ) at 2015-05-16 16:59 中 国 
标准 时 间 


Nmap scan report for testasp.vulnweb.com (87,230.29.167) 
Host is up (0.25s latency). 

CONS record for 87.239.29.167: 

WVpS8]-230-29-167 dedicated. josteurope.de 

Not shown: 448 closed ports 

PORT — STATE SERVICE 

BO/tcp open http 

135/tcp open msrpc 

139/tcp open netbios-ssn 


Naap cone: 1 IP address (1 host up) scanned in 11.98 seconds 


8-29 50—500 号 端口 扫描 结果 
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指定 探测 部 分 端口 能 节约 很 多 时 间 , 比 一 次 探测 10 000 个 端口 要 快 得 多 ,有 了 这 个 
功能 ,也 方便 探测 者 分 批 次 探测 开放 的 端口 ,提高 工作 效率 。 
844 指定 端口 扫描 


有 时 不 想 对 所 有 端口 进行 探测 ,只 想 对 80、443、8080、22、21、25、53 等 特殊 的 端口 进 
行 扫描 ,还 可 以 利用 参数 -p 进行 配置 。 

命令 语法 : 

mep -pOR Fl 1 端口 2 端口 3…) < 目标 主机 rp dd» 

例如 ， 

mep - p 80,443,22,21,8080,25, 53 testasp.vulnweb.om 


扫描 结果 如 图 8-30 所 示 。 


[Scan Tools Profle Hep 


Target [testaspwinwebcom [m] Profle: | @ Ba] (ee 


Command: [nmap -p 804432221,80802553 testaspwulnwebcom 


| sess Series] | Nmap Output [ports Hosts |Topology | Host Details| scans 
OS 4 Host nmap -p 80,443,22,21,8080,25,53 testasp.vulnweb.com 
B testaspwlnweb.e 


Starting Nmap 6.47 ( nttp://nmap.org ) at 2015-05-16 17:03 中 国 


Nmap scan report for testasp.vulnweb.com (87.230.29.167) 
Host is up (0.24s latency). 
FONS record for 87.230.29.167: 

- europe. 


PORT STATE SERVICE 
21/tep closed ftp 


Nmap cone: 1_IP address (1 host up) scanned in 1.27 seconds 


图 8-30 指定 端口 扫描 结果 


扫描 结果 分 析 : 在 指定 的 端口 中 ,只 有 80 号 端口 是 开放 的 ,其 余 端口 全 是 关闭 的 。 
前 面 的 端口 探测 因 一 次 性 扫描 的 端口 数量 过 大 ,所 以 结果 大 部 分 相同 的 端口 都 只 给 出 端 
口 个 数 ,少数 几 个 开放 或 者 过 滤 的 端口 号 和 服务 名 称 才 被 列举 出 来 , 然 此 例 仅 指定 探测 少 
数 几 个 端口 ,因此 结果 中 列 出 所 有 端口 号 和 状态 以 及 服务 名 称 。 


845 版 本 侦 测 
版 本 侦 测 是 用 来 扫描 目标 主机 和 端口 上 运行 的 软件 的 版 本 。 它 不 同 于 其 他 的 扫描 技 
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术 , 不 是 用 来 扫描 目标 主机 上 开放 的 端口 ,不 过 它 需 要 从 开放 的 端口 获取 信息 来 判断 软件 
的 版 本 。 使 用 版 本 侦 测 扫描 之 前 需要 先 用 TCP SYN 扫描 开放 了 哪些 端口 。 

版 本 侦 测 是 Nmap 最 重要 的 特征 之 一 ,对 于 使 用 服务 来 寻找 安全 漏洞 的 渗透 测试 
人 员 以 及 希望 监控 未 经 授权 的 网 络 更 改 的 系统 管理 员 来 说 ,知道 服务 确切 的 版 本 是 非 
常 有 价值 的 。 指 纹 识别 服务 也 会 披露 目标 主机 更 多 的 信息 ,比如 可 用 模块 和 特定 的 
协议 。 

命令 语法 : 

map - sv < 目标 主机 到 地 址 > 

例如 ， 

mep - sV testasp.vulnweb.cam 


扫描 结果 如 图 8-31 所 示 。 


exam Todtem eroe tipp 


Target [testaspwinwebcom [z] Profle: [e] [o] (een 


Command: [nmap -sV testaspvulnweb.com 


[tss Seis] [Nmap Output [ports Hosts Topology Host etai scan 
OS « Host [nmap «V testaspivulnweb.com E: m 


W testaspwulnweb.c 
Sanr Nmap 6.47 ( nttp://nmap.org ) at 2015-05-16 20:35 中 国 


Nmap scan report for testasp.vulnweb.com (87.230.29.167) 
Host is up (0.25s latency). 

FONS record for 87.230.29.167: 
Wvp587-230- 29-167. dedicated.hosteurope.de 

Not shown: 


: 992 closed por 
PORT — STATE SERVICE VERSION 
80/tcp Microsoft IIS httpd 6.0 
135/tcp open  msroc Microsoft Windows RPC 
139/tcp oper 


1031/tcp open 


1032/tc Microsoft Windows RPC 


oft Terminal Service 


Service detection performed. Please report any incorrect 
results at http://nmap.org/submit/ . 
Nmap cone: 1 IP address (1 host up) scanned in 152.93 seconds 


931 版 本 侦 测 扫描 结果 


扫描 结果 分 析 : -sV 是 可 以 返回 额外 的 服务 和 版 本 信息 的 服务 检测 ,由 于 服务 检测 
在 很 多 情况 下 都 非常 有 用 ,比如 识别 安全 漏洞 或 确保 服务 运行 在 一 个 给 定 的 端口 ,所 以 它 
是 Nmap 最 主要 的 特点 之 一 。 

这 个 功能 主要 是 通过 nmap-service-probes 发 送 不 同 的 探 针 到 疑似 开放 端口 的 列表 ， 
探 针 的 选择 基于 它们 可 用 来 识别 服务 的 可 能 性 有 多 大 。 


846 操作 系统 侦 测 
Nmap 最 重要 的 特点 之 一 是 能 够 远程 检测 操作 系统 和 软件 , Nmap 的 操作 系统 检测 
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技术 在 渗透 测试 中 用 来 了 解 远程 主机 的 操作 系统 和 软件 是 非常 有 用 的 ,通过 获取 的 信息 
可 以 知道 已 知 的 漏洞 。Nmap 有 一 个 名 为 nmap-OS-DB 的 数据 库 , 该 数据 库 包 含 超过 
2600 条 操作 系统 的 信息 。Nmap 把 TCP 和 UDP 数据 包 发 送 到 目标 主机 上 ,然后 将 检查 
结果 和 数据 库 对 照 。 

命令 语法 : 

map -0< 目 标 主机 也 地 址 > 

例如 : 

mep - O testasp.vulnweb.cam 


扫描 结果 如 图 8-32 所 示 。 


Scan Tools Profile Help 
Target [espwwbcom — [v] Profile: | z) [m] em 


Command: [nmap -O testaspwimweb.ccm 
| 


| Services | | Nmap Output | Ports / Hosts | Topology| Host Details | scans 
— nmap -0 testaspvulnweb.com [e] 5 [etais 
^ testaspwlnweb.c 


Starting Nmap 6.47 ( http://nmap.org ) at 2915-93-11 10:16 
中 国标 准时 间 
Nmap scan report for testasp.vulnweb.com (87.230.29.167) 
Host PA. » bs m laten ng) 

TONS re .230.2: 


+167; 
ps Sao.: a ie. dedicate 'd.hosteurope.de 


s server 2003::spl cpe:/ 


imi ::8p2 
[os aetatis: pea indows Server 2003 SP1 or SP2 
Network Dist, 


OS detection performed. risen report any incorrect results 
Bt http://nap.org/sut 
Nmap done: 1 IP address y^ st up) scanned in 17.85 seconds 


H832 操作 系统 侦 测 


扫描 结果 分 析 : 对 系统 管理 员 来 说 ,扫描 远程 主机 的 操作 系统 版 本 可 以 带 来 很 多 方 
便 。 但 是 这 种 技术 也 可 能 被 黑客 滥用 。 他 们 可 以 利用 操作 系统 类 型 和 补丁 级 别 这 些 准 确 
的 信息 ,针对 任何 主机 实施 攻击 。 

此 例 中 -O 命令 并 没有 扫描 侦 测 出 与 主机 相 匹 配 的 确切 的 操作 系统 版 本 ,只 是 给 了 几 
个 猜测 的 操作 系统 版 本 ,这 种 情况 不 是 很 理想 ,应 该 是 远程 主机 做 了 针对 操作 系统 检测 的 
防范 。 

想 要 通过 Nmap 准确 地 检测 到 远程 操作 系统 是 比较 困难 的 ,需要 使 用 Nmap 的 猜测 
功能 选项 ,-osscan-guess 能 够 猜测 它 认 为 最 接近 目标 的 匹配 操作 系统 类 型 。 

如 果 得 到 确切 的 远程 操作 系统 版 本 ,还 可 以 使 用 -osscan-limit 针对 指定 的 目标 操作 
系统 进行 探测 。 
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847 万 能 开关 -A 


Nmap 有 一 个 特殊 的 标签 来 激活 攻击 检测 ,就 是 -A。 攻 击 模式 包含 操作 系统 侦 测 -O、 
版 本 侦 测 -sV ,脚本 扫描 -sC 和 路 由 追踪 --traceroute, 这 种 模式 能 发 出 更 多 的 探 针 ,而 且 更 
可 能 被 探测 到 ,还 能 提供 更 多 有 价值 的 信息 。 

路 由 追踪 功能 能 够 帮助 网 络 管理 员 了 解 网 络 通行 情况 ,同时 也 是 网 络 管理 人 员 很 好 


的 辅助 工具 。 通 过 路 由 追踪 可 以 轻松 地 查 出 从 用 户 使 用 的 电脑 所 在 地 到 目标 主机 地 址 之 


间 所 经 过 的 网 络 节 点 ,并 可 以 看 到 通过 各 个 节点 所 花费 的 时 间 。 
命令 语法 : 


map -A< 目 标 主机 1p 3i hb» 


map - 0 - sV - sC - - tracercute < 目标 主机 TP JE» 
例如 : 


mep - A testasp.vulnweb.cam 


map -0 - SV - < - - traceroutetestasp.vulrweb.om 


扫描 结果 如 图 8-33 和 图 8-34 所 示 。 


an pe pae pe 
EA E rte 


图 8-33 ”操作 系统 侦 测 

扫描 结果 分 析 : 操作 系统 和 版 本 侦 测 的 结果 相信 大 家 都 已 经 明白 ,从 扫描 结果 中 可 
以 看 出 ,脚本 扫描 结果 给 出 了 目标 主机 使 用 数据 库 的 版 本 信息 ,这 方便 了 攻击 者 的 攻击 ， 
对 目标 主机 非常 不 利 。 


同样 ,从 路 由 追踪 的 结果 可 以 看 出 ,笔者 电脑 所 在 地 到 目标 网 站 服务 器 所 在 地 要 经 过 
不 少 网 络 节点 ,从 以 上 数据 看 速度 都 还 比较 快 ,并 不 存在 网 络 堵塞 的 情况 。 如 果 到 达 某 站 
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图 8-34 版 本 侦 测 、 脚 本 扫描 和 路 由 器 追踪 


点 时 间 长 , 即 可 知道 有 堵塞 情况 ,通过 查 对 应 TP 就 可 知道 哪个 地 方 堵塞 了 。 
8.5 本 章 小 结 


Web 是 互联 网 上 最 广泛 的 应 用 ,而 且 越 来 越 多 的 服务 倾向 于 以 Web 形式 提供 出 来 ， 
所 以 对 Web 安全 监管 也 越 来 越 重 要 。 目 前 安全 领域 有 很 多 专门 的 Web 扫描 软件 (如 
AppScan, WebInspect, W3AF) ,能 够 提供 端口 扫描 漏洞 扫描 、 漏 洞 利 用 、 分 析 报表 等 诸 
多 功能 。 而 Nmap 作为 一 款 开源 的 端口 扫描 器 ,对 Web 扫描 方面 支持 也 越 来 越 强大 ,可 
以 完成 Web 基本 的 信息 探测 : 服务 器 版 本 ,支持 的 Method、 是 否 包 含 典型 漏洞 等 。 功 能 
已 经 远 远 超过 同 领 域 的 其 他 开源 软件 ,如 HTTPrint、Httsquash。 

Nmap 是 一 个 非常 强大 的 工具 , 它 具 有 覆盖 渗透 测试 的 第 一 方面 的 能 力 , 其 中 包括 信 
息 的 收集 和 统计 。 它 的 命令 语法 也 非常 多 ,可 以 任意 组 合 , 层 层 深入 ,功能 非常 强大 。 

最 开始 是 端口 扫描 ,确定 开放 的 端口 ,所 有 开放 的 端口 都 是 可 以 攻击 的 点 。 然 后 是 版 
本 侦 测 和 操作 系统 侦 测 , Nmap 通过 目标 主机 开放 的 端口 来 探测 主机 所 运行 的 操作 系统 
类 型 ,这 是 信息 收集 中 很 重要 的 一 步 , 它 可 以 帮助 用 户 找 到 特定 操作 系统 上 含有 漏洞 的 
服务 。 

而 脚本 扫描 不 仅 可 以 扫描 出 目标 主机 数据 库 的 版 本 信息 ,更 可 以 根据 端口 扫描 开放 
端口 的 服务 进行 脚本 扫描 ,可 得 到 数据 库 、 应 用 程序 的 版 本 信息 ,以 及 该 站 点 的 affiliate- 
id, 该 ID 可 用 于 识别 同一 拥有 者 的 不 同 页 面 。 然 后 输出 HTTP-headers 信息 ,从 中 查看 
到 基本 配置 信息 。 从 HTTP-title 中 可 以 看 到 网 页 标题 。 某 些 网 页 标题 可 能 会 泄漏 重要 
信息 ,所 以 这 里 也 应 对 其 检查 。 

在 此 是 不 可 能 将 Nmap 所 有 功能 都 一 一 列举 的 ,用 户 只 能 从 这 几 个 主要 功能 层 层 深 
和 ,再 从 扫描 结果 中 提取 出 有 利信 息 ,扫描 出 更 深层 次 的 信息 ,得 到 自己 需要 的 结果 ,也 需 
要 在 平时 的 实际 操作 中 不 断 总 结 学 习 , 才 能 更 深入 地 了 解 Nmap 真正 强大 的 功能 。 
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作为 安全 测试 工具 ,Nmap 仅仅 是 提供 可 攻击 点 的 信息 ,帮助 用 户 找到 可 攻击 的 点 ， 
至 于 要 以 什么 样 的 方式 攻击 ,怎样 伪造 用 户 信息 绕 过 验证 ,都 不 是 Nmap 的 工作 。 

在 学 习 Web 安全 测试 的 过 程 中 , 千 万 不 能 随意 找 个 网 站 进行 攻击 ,只 有 需要 用 到 的 
时 候 才 用 ,随意 攻击 是 要 出 大 问题 的 。 


1. 简 述 Nmap 工具 的 使 用 方法 。 


2. 简 述 各 个 命令 获取 的 信息 。 
3. 简 述 信息 报告 的 各 项 含义 。 
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9.1 Nikto 简 T 


Nikto 是 一 款 开 源 的 (GPL) 网 页 服务 器 扫描 器 , 它 可 以 对 网 页 服务 器 进行 全 面 的 扫 
描 , 包 含 超过 3300 种 有 潜在 危险 的 文件 /CGI, 超 过 625 种 服务 器 版 本 ,超过 230 种 特定 
服务 器 。 它 可 以 扫描 指定 主机 的 Web 类 型 .主机 名 特定 目录 Cookie、 特定 CGI 漏洞 , 返 
回 主机 允许 的 HTTP 模式 等 等 。 扫 描 项 和 插件 可 以 自动 更 新 (如 果 需 要 )。 基 于 
Whisker/libwhisker 完成 其 底层 功能 。Nikto 是 一 款 非常 棒 的 工具 ,是 网 管 安全 人 员 必 
备 的 Web 审计 工具 之 一 。 

Nikto 是 基于 Perl 开发 的 程序 ,所 以 需要 Perl 环境 。Nikto 支持 Windows (使 用 
ActiveState Perl 环境 )、Mac OS X, & fii Linux 或 UNIX 系统 。Nikto 使 用 SSL 需要 Net:: 
SSLeay Perl 模式 , 则 必须 在 UNIX 平台 上 安装 OpenSSL。 有 具体 可 以 参考 Nikto 的 帮助 文档 。 


9.0 下载 与 安装 


921 下 载 


到 Nikto 官方 网 站 下 载 最 新 版 本 的 安装 包 ,nikto-current. tar. gz 为 Linux 下 的 压缩 
格式 ,Windows 版 本 的 下 载 地 址 为 https://cirt. net/nikto2, 点 击 Latest GitHub Release 
(zip) 链 接 。 


922 解压 
在 Windows 下 直接 解压 即 可 。 解 压 之 后 的 文件 如 图 9-1 所 示 。 


BASE ， OS(C) » nikto » mikto-201 


E " SEHE ES 

& docs 2015/4/18 13:56 

I kbase 2015/4/18 14:03 

Ji plugins 

Ji templates 

B configtt 3KB 
@ nikopl 2007/12/11 21:57 10KB 
E output it 2015/4/19 17:52 KEN 1KB 


图 9-1 解压 得 到 的 文件 
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923 安装 


Nikto 是 基于 Perl 开发 的 程序 ,所 以 需要 Perl 环境 。 TE Windows 下 运行 nikto 需要 
配置 ActiveState Perl 的 环境 ,应 首先 下 载 ActivePerl 并 安装 ,如 图 9-2 所 示 。 


B ActivePerl 5.16.2 Build 1602 Setup 
Wel to the ActivePerl 5.16.2 Build 1602 
ActiveState cwecomet the Aciverer 5.16.2 Bui 


The Setup Wizard will allow you to change 
the way ActivePerl 5.16.2 Build 1602 
features are installed on your computer or 
even to remove ActivePerl 5.16.2 Build 
1602 from your computer. Click Next to 
continue or Cancel to exit the Setup Wizard. 


ActivePerT 


www.activestate.com 


图 9-2 St Active State Perl 


按照 向 导 提示 步 又 进行 安装 ,全 部 安装 完成 后 , 即 可 开始 使 用 Nikto。 


9.3 使 用 方法 及 参数 


Nikto 没有 图 形 操作 界面 ,都 是 使 用 命令 来 操作 ,在 Windows 系统 中 ,进入 cmd, 进 
入 nikto. pl 所 在 目录 ,再 输入 相应 指令 进行 操作 。 

Nikto 统一 命令 行 语 法 如 下 : 

nikto.pl -h 目标 主机 -其 他 参数 
其 中 -h 是 指定 目标 主机 ,因为 在 Nikto 中 部 分 参数 使 用 全 称 或 参数 的 第 一 个 字母 均 可 ， 
这 里 -h 就 是 -host, 而 字母 相同 的 则 用 大 小 写 区 分 开 来 ,例如 -H 就 是 Help. 


931 -h 目 标 主机 


É Nikto 中 ,最 重要 的 参数 是 -h ,前 面 已 经 提 到 Nikto 的 统一 语法 格式 ,-h 是 不 可 或 
缺 的 ,如 果 只 有 目标 主机 地 址 ,没有 -h, 其 他 参数 都 不 会 有 对 应 的 扫描 结果 ,-h 在 Nikto H 
描 中 起 到 非常 关键 的 作用 。 

本 章 以 http://scanme. nmap. org 为 例 ,全 面 展示 Nikto 的 扫描 功能 ,首先 看 -h 扫描 
结果 ,在 命令 行 中 输入 nikto. pl -h http://scanme. nmap. org, 如 图 9-3 所 示 。 
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tou. php?id=46 
re found: index.html 
fipache/2 .4 
(final rel 
Method 


found. 
ME, fields: 


: Apache default file 
requests: 《 nd 11 it 
End Tine: 2 7-19 13:16: 


1 host(s) te 


图 9-3 -h 指令 扫描 结果 


扫描 结果 分 析 : 此 命令 不 配合 其 他 参数 的 情况 下 ,扫描 时 间 比 较 长 。-h 后 面 是 目标 
主机 列表 ,可 以 用 主机 名 或 TP 地 址 来 表示 。 扫 描 结 果 分 为 两 部 分 ,第 一 部 分 是 主机 信息 ， 
包括 主机 IP、 主 机 名 和 主机 端口 ,所 以 -h 后 面 是 主机 名 还 是 主机 TP 地 址 ,扫描 结果 都 是 

- 样 的 。 

第 二 部 分 是 扫描 结果 部 分 ,从 开始 时 间 到 结束 时 间 , 因 为 扫描 需要 一 点 时 间 , 中 间 某 
些 位 置 的 停留 时 间 会 很 长 ,用 户 不 要 以 为 这 时 扫描 已 经 结束 就 中 断 扫描 , 那 可 能 会 错失 重 
要 信息 。 

从 结果 中 可 以 看 出 ,此 目标 主机 的 服务 器 版 本 是 Apache 2. 4. 7, 操 作 系 统 为 
Ubuntu, 仅 这 一 条 信息 已 经 为 攻击 者 省 去 很 多 工作 ,节约 很 多 时 间 。 

另外 ,扫描 结果 中 还 可 以 看 到 一 些 重要 Header 的 配置 没有 设置 , 如 X-Frame- 
Options, X-XSS-Protection 和 X-Content- Type-Options, 

其 中 ,X-Frame-Options 主要 用 来 配置 某 些 网 站 可 以 通过 frame 来 加 载 资源 。 它 主 
要 是 用 来 防止 UI redressing 补偿 样式 攻击 。 正 确 的 设置 如 下 : 

* DENY: 禁止 所 有 的 资源 (本 地 或 远程 ) 试 图 通过 frame 来 加 载 其 他 也 支持 X- 

Frame-Options 的 资源 。 
* SAMEORIGIN: 只 允许 遵守 同 源 策略 的 资源 (和 站 点 同 源 ) 通 过 frame 加 载 那 些 
受 保护 的 资源 。 

。 ALLOW-FROM http://www. example. com; 允许 指定 的 资源 (必须 带 上 协议 

http 或 者 https) 通 过 frame 来 加 载 受 保护 的 资源 。 这 个 配置 只 在 IE 和 Firefox 


D 
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下 有 效 。 其 他 浏览 器 则 默认 允许 来 自任 何 源 的 资源 (在 X-Frame-Options 未 设置 
的 情况 下 )。 

带 来 的 危害 是 : 当 用 户 访问 一 个 恶意 网 站 的 时 候 , 攻 击 者 可 以 控制 其 浏览 器 对 一 些 
链接 的 访问 ,这 个 漏洞 影响 到 几乎 所 有 浏览 器 ,除非 使 用 lynx 一 类 的 字符 浏览 器 。 这 个 
漏洞 与 JavaScript 无 关 , 即 使 关闭 浏览 器 的 JavaScript 功能 也 无 能 为 力 。 事 实 上 这 是 济 
览 器 工作 原理 中 的 一 个 缺陷 ,无 法 通过 简单 的 补丁 解决 。 一 个 恶意 网 站 能 让 用 户 在 毫 不 
知情 的 情况 下 点 击 任意 链接 ,任意 按钮 或 网 站 上 的 任意 东西 。 

X-XSS-Protection 主要 是 用 来 防止 浏览 器 中 的 反射 性 XSS。 正 确 的 设置 如 下 ， 

。 0: 关闭 对 浏览 器 的 XSS 防护 。 

* 1: 开启 XSS 防护 。 

* 1; mode=block; 开启 XSS 防护 并 通知 浏览 器 阻止 而 不 是 过 滤 用 户 注 入 的 脚本 。 

* 1; report— http: //site. com/report: 这 个 只 有 Chrome 和 webkit 内 核 的 浏览 器 

支持 ,这 种 模式 告诉 浏览 器 当 发 现 疑 似 XSS 攻击 的 时 候 就 将 这 部 分 数据 post 到 
指定 地 址 。 

带 来 的 危害 是 : 浏览 器 不 能 所 有 页 面 作 XSS 保护 ,用 户 访问 恶意 网 站 时 ,很 容易 受 
到 KSS sili. XT XSS 的 攻击 ,本 书 在 第 12 章 中 有 详细 讲解 ,这 里 不 再 袭 述 。 

X-Content-Type-Options 通过 为 网 站 提供 对 更 多 的 文件 及 主 域名 进行 最 严格 的 审核 
机 会 (从 理论 上 完全 可 行 ) 进 一 步 加 强 了 安全 性 。 主 要 用 来 防止 在 IE9 .Chrome 和 safari 
中 的 MIME 类 型 混淆 攻击 。Firefox 目前 对 此 还 存在 争议 。 通 常 浏览 器 可 以 通过 嗅 探 内 
容 本 身 的 方法 来 决定 它 是 什么 类 型 ,而 不 是 看 响应 中 的 content-type 值 。 通 过 设置 X- 
Content-Type-Options, 如 果 content-type 和 期 望 的 类 型 匹配 , 则 不 需要 嗅 探 ,只 能 从 外 部 
加 载 确定 类 型 的 资源 。 正 确 的 配置 如 下 : 

* nosniff: 这 是 唯一 正确 的 设置 。 

带 来 的 危害 是 : 受到 基于 CSS 的 数据 窃取 。 

-h 是 一 个 概要 性 的 扫描 命令 ,上 述 3 个 header 信息 是 漏洞 出 处 ,后 面 的 总 体 结果 表 
明 , 这 个 网 站 非常 容易 受到 暴力 攻击 ,安全 性 不 高 。 


932 -C 扫 描 Od 目录 
扫描 包含 指定 内 容 的 CGI 目录 的 命令 如 下 : 
-cœ ER) 


所 包含 的 内 容 在 -C 后 面 指定 ,如 -C /cgi/ ,扫描 结果 如 图 9-4 所 示 。 

与 图 9-3 的 -h 指令 扫描 结果 对 比 , 不 难看 出 ,-C 的 扫描 结果 仅仅 少 了 关于 -C 命令 的 
使 用 方法 这 一 条 ,这 仅仅 是 因为 扫描 CGI 的 范围 用 对 了 。 扫 措 特定 CGI 漏洞 是 Nikto 的 
重要 特色 之 一 ,这 里 重点 普及 CGI 知识 ,所 以 虽然 没有 扫描 出 CGI 结果 ,本 节 仍 然 将 有 关 
的 重要 知识 点 列 出 。 

CGI 简单 地 讲 是 运行 在 Web 服务 器 上 的 程序 ,由 浏览 器 的 输入 触发 。 这 个 脚本 像 服 
务 器 和 系统 中 其 他 程序 (如 数据 库 ) 的 桥梁 。 
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图 9-4 CGI 扫描 结果 


CGI 是 通过 下 列 两 种 方法 使 用 的 : 作为 一 个 表单 的 ACTION ,或 作为 一 个 页 中 的 直 
接 link。 它 由 服务 器 调用 , 基于 浏览 器 的 数据 输入 。 其 工作 原理 如 下 : 

-个 URL 指向 一 个 CGI. 一 个 CGI 的 URL 能 像 普通 的 URL 一 样 出 现 , 区 别 于 
.htm/. html 静态 URL,CGI 的 URL 是 动态 的 ,如 http://xxxx. com/cgiurl。 

服务 器 CGI 接收 浏览 器 的 请 求 ,按照 那个 URL 指向 对 应 的 脚本 文件 (注意 文件 的 位 
置 和 扩展 名 ) ,执行 CGI 脚本 。 

CGI 脚本 执行 基于 输入 数据 的 操作 ,包括 查询 数据 库 .计算 数值 或 调用 系统 中 的 其 他 
HJF. CGI 脚本 产生 某 种 Web 服务 器 能 理解 的 输出 结果 ,服务 器 接收 来 自 CGI 的 输出 并 
且 把 它 传 回 浏 览 器 ,让 用 户 了 解 处 理 结果 。 也 可 以 理解 为 ,CGI 就 是 处 理 用 户 的 操作 

CGI 程序 不 是 放 在 服务 器 上 就 能 顺利 运行 ,如 果 要 想 使 其 在 服务 器 上 顺利 运行 并 准 
确 地 处 理 用 户 的 请 求 , 则 应 对 所 使 用 的 服务 器 进行 必要 的 设置 。 

CGI 接收 的 是 来 自用 户 的 请 求 ,其 安全 性 非常 重要 ,这 是 最 容易 受到 攻击 的 点 ,值得 
网 站 研发 团队 做 更 好 的 防护 。 


933 -D 控 制 输出 
打开 或 关闭 默认 输出 的 命令 如 下 : 


-D(Display) 输出 选项 参数 

输出 选项 参数 如 下 : 

*d 显示 重 定向 。 

。 2: 显示 获取 的 Cookies 信息 。 
。3: 显示 所 有 200/OK 的 回应 。 
。4: 显示 请 求 认证 的 URL. 

* D; Debug 输出 。 

。V: 元 余 输出 。 


«a» 
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例如 ,在 命令 行 输入 


nikto.pl -h http://scame.rmap.org/ -D2 


显示 获取 的 Cookies 信息 ,扫描 结 


果 如 图 9-5 所 示 。 


Hs -D 扫描 结果 


扫描 结果 分 析 : 和 别 的 扫描 命令 一 样 ,在 命令 后 面 加 上 参数 , 即 可 指定 扫描 内 容 , 比 


如 此 例 中 参数 设 为 2, 意思 就 是 显示 获取 的 Cookies 信息 


Cookies 是 一 种 能 够 让 网 站 服务 器 把 少量 数据 存储 到 客户 端的 硬盘 或 内 存 或 是 从 客 
户 端 的 硬盘 读 取 数 据 的 技术 。 当 
-个 非常 小 的 文本 文件 , 它 可 以 记录 用 户 ID 密码、 浏览 过 的 网 页 


用 户 浏览 某 网 站 时 ,由 Web 服务 器 置 TERDOWE E My 
: 留 的 时 间 等 信息 


当 用 户 再 次 来 到 该 网 站 时 ,网 站 通过 读 取 Cookies 得 知 该 用 户 的 相关 信息 ,就 可 以 做 出 相 
应 的 动作 ,如 在 页 面 显示 “欢迎 你 ”的 标语 ,或 者 让 用 户 不 用 输入 ID 、 密 码 就 直接 登录 


从 本 质 上 讲 , 它 可 以 看 作 是 用 户 的 身份 证 。Cookies 不 能 作为 代码 执行 ,也 不 会 传送 


病毒 , 且 为 用 户 所 专 有 ,并 只 能 由 提供 它 的 服务 器 来 读 取 。 保 存 的 信息 片断 以 名 - 值 对 


(name-value pairs) 的 形式 储存 ， 


-个 名 - 值 对 仅仅 是 一 条 命名 的 数据 。 一 个 网 站 只 能 取得 


它 放 在 电脑 中 的 信息 , 它 无 法 从 其 他 的 Cookies 文件 中 取得 信息 ,也 无 法 得 到 用 户 的 电脑 


上 的 其 他 任何 东西 


但 是 如 果 存 放 Cookies 的 服务 器 遭 到 恶意 攻击 ,利用 CGI 处 理 程序 得 到 其 中 存放 的 


加 密 信息 , 那 就 非常 危险 了 。 
934 ”-V 版 本 信息 输出 


显示 插件 和 数据 库 的 版 本 信息 的 命令 如 下 : 


—V(Version) 


例如 ,在 命令 行 输 入 nikto. pl -h http: 
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scanme. nmap. org/ -V, 结 果 如 图 9-6 所 示 。 


:miktomikto 


ikto Uersion 


404 string 
favicon 
outdated 


realm: 


header: 


此 扫描 结果 为 Nikto 的 数据 


935 -H 帮 助 信息 


favicon. 


httpoption 


CAWINDOWSYsystem32Xcmd.exe 


2.Bi?nikto.pl -h http://scanme.nnmap.c 


Uersion Last Mod 
ai 
4 
[7] 
agi 
ae 
eon 
aan 
[7] 
aaa 
[7] 
aa 
a1 
plugin ai 
plugin 82 
plugin ai 


nsgs plugin ai 
mutate plugin aa 


图 9%-6 -V 扫描 结果 


信息 和 插件 


j 


显示 Nikto 帮助 信息 的 命令 如 下 : 


-H 


例如 ,在 命令 行 输入 nikto. pl -H ,扫描 结果 如 图 9-7 所 示 。 


Option 
p 


e "/cgi/ /cg 
Displ 


帮助 


信息 在 每 个 参 


2: nikto nikto 


conf ig+ use thi 


Cgidir 


dbcheck 
rors (cannot be 


evasion: id 


CAWINDOWSYsystem32Xcmd.exe 


2.81?nikto.pl -H 


config file 
+ can these CGI dirs: 'none', ’ 
baa 
ay* turn on/off 
1 how 
Show cookies rec 
how all 288/0K response 
Shov UR 
Debug Output 
Ver Output 


display outputs: 
direct 
eived 


which require au 


check database and other key file 

abbreviated) 

evasion technique: 

1 Ri 
Directory 


rdom URI encoding Cni 
ature URL ending 
pend long don 
Fake 


string 


paranete 


97 -HgEGS 


数 后 面 都 给 出 了 解释 和 用 法 。 


elf-reference (/. 


thentication 


for syntax erf 


«a» 
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936 -dbchek 检 查 数 据 库 


检查 数据 库 和 其 他 重要 文件 的 句法 错误 的 命令 如 下 : 


- dodeck 


例如 ,在 命令 行 输入 


nikto.pl -h http://scanme.rmap.org/ - dbcheck 


扫描 结果 如 图 9-8 所 示 。 


画 CAWINDOWS\system32\cmd.exe S 


937 -e 躲 避 技 术 
使 用 LibWhisker 中 对 IDS 的 躲避 技术 的 命令 如 下 ; 
-e(evasion) 参数 
参数 类 型 : 
: 随机 URL 编码 ( 非 UTF-8 方式 ) 。 
。 2: 自选 择 路 径 (/. D. 
: 过 早 结束 的 URL. 
。4: 优先 考虑 长 随机 字符 串 。 
。5: 参数 欺骗 。 
* 6; 使 用 Tab 作为 命令 的 分 隔 符 。 
* 7: 使 用 变化 的 URL, 
* 8: 使 用 Windows 路 径 分 隔 符 “\”。 
例如 ,在 命令 行 输入 


Du 


nikto.pl -h http://scarme.map.org/ - e 8 
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扫描 结果 如 图 9-9 所 示 。 


:niktonikt 


e '-C all’ to force check all possible dir 


http://nmap.orqg 
al its internal IP or hostn 
HITP BAD REQUE 
tule=NS-Ne nane =X2 ing 
ail=testBtest.com : Post Nu 
ite Scriptin: ^. Ch-2088-82 
cript?alert( cript 
). CA-2868-82 
PHP Inage 


+ OSUDB-8: GET //nodules.php?op-nodload&nane -FRQ&f ile-index&nyfaq-yes&id cat-ic 


9-9 -ee 躲避 技术 


938 -f 寻 找 HTTP 或 HIPS si A 
只 寻找 HTTP 或 HTTPS 端口 ,不 进行 完全 扫描 的 命令 如 下 : 
-f(findonly) 
例如 ,在 命令 行 输入 
nikto.pl -h http://scame.rmap.org/ - f 


结果 如 图 9-10 所 示 。 


:niktonikto-2.81mnikto.pl -h http anme -nnap.org/ -f 


Nikt 


Apache/2.2.15 <Cent0S) 


A 9-10 -f 寻 找 HTTP 或 HTTPS 端口 
扫描 出 的 HTTP 端口 具有 一 个 。 
939 -i 主机 鉴定 
主机 鉴定 的 命令 如 下 : 


-i0HP DEH) 
在 命令 行 输入 
nikto.pl -h http://scarme.mep.org/ -i JH P! id: 密 码 


结果 如 图 9-11 所 示 。 


CD 
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r5 'adninNDesktopwiktowiktowprogran?nikto.pl -h http://scanne.nnap.org 
adnin admin 
Nikto v2.1.6 


+ Target IP: 
+ Target Hostname: ^ scanne.nnap.org 
+ Target Port: 88 

2815-86-15 10: 


Ubuntu 


clickjacking X-Frame-Options header is not present 


S-Protection header is not def This header can hint to the user a 
gent to protect against some forns of 


ontent-Type-Options header is not set. This could allow the user agent 

o render the content of the site in a different fashion to the MIME type 

+ IP address found in the ‘location’ header. The IP is "117.177.24 ; 

+ No CGI Directories found (use'-C all’ to force check all possible dirs) 

+ Uncommon header 'tcn^ found, with contents: list 

+ Apache nod negotiation is enabled with MultiUieus, which allows attackers to e| 

asily brute force file nanes. See http://www.visec.it/sectou.php?id-4698ebdc59d1 

5 folloving alternatives for 'index' were found: index.html 

^ Rpache/2.4.7 appears to be outdated (current is at least fipache/2.4.12). Apach 
0.65 《final re and 2.2.29 are also current 

+ Allowed HITP Methods: GET, HERD, POST, OPTIONS 

^ ERROR: Error 1 《28》 reached for host, giving up. Last error: opening streal 
can't connect (timeout): Unknown error 
can terminated: 19 e (s) and 8 item(s) reported on remote host 


+ End Time 2015-06-15 18:19:31 (GMT8> (319 seconds) 


9-11 -i 主机 鉴定 


9310 -m 猜 解 文件 名 
猜 解 更 多 的 文件 名 的 命令 如 下 : 
-m(mtate) 参数 
参数 类 型 
。1: 检测 根 目录 下 的 所 有 文件 。 
。2: 猜测 密码 文件 名 
。 3: 通过 ApacheC/ — User 请 求 类 型 ) 枚 举 用 户 名 。 


* 4: 通过 cgiwrapC/cgi-bin/cgiwrap/ — User 请 求 类 型 ) 枚 举 用 户 名 。 
例如 ,在 命令 行 输入 


nikto.pl -h http://scarme.map.org/ -m 2 
结果 如 图 9-12 所 示 。 


:miktowmikto-2.81)nikto-pl -h http://canne.nnap.org/ -n 2 


Nikto 2.81/2.01 net 

Target I 

Target Hostnane: canne.n 

Target Port: 38 

Using Mutation Guess for passvord file nanes 
2815-84-28 16:27 


15 《Cent0S》 


found Cu ' to force check all possible dirs) 


bLogic may r al IP or hos 1 Location hel 
lue is "http: 


E 9-12 -m 猜 解 文件 名 
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9311 -p 指 定 端口 
使 用 指定 端口 的 命令 如 下 : 
-Pp 端口 号 
默认 端口 为 80。 例 如 ,在 命令 行 输入 
nikto.pl -h http://scame.rmap.org/ -p 433 


结果 如 图 9-13 所 示 。 


画 CAWINDOWS\system32\cmd.exe ERR 


Æ 9-13 -p 指定 端口 


932 -T 扫 描 方式 
控制 Nikto 使 用 不 同 的 方式 对 目标 进行 扫描 的 命令 如 下 : 
-T(Iuning) 参数 类 型 
参数 类 型 , 
。0: 文件 上 传 。 
: 日 志方 式 。 
: 默认 文件 。 
: 信息 泄露 。 
* 4: IEA(XSS/Script/HTMD), 
* 5: 远程 文件 检索 (Web 目录 中 ) 。 
* 6: 拒绝 服务 。 
。7: 远程 文件 检索 (服务 器 ) 。 
。8: 通过 远程 Shell 执行 代码 。 
* 9: SQL 注入 。 
。a: 认证 绕 过 。 


co v — 


dp /地 网 站 汤 泣 扫描 与 渗透 攻击 工具 揭秘 


。b: 软件 关联 。 

oci 远程 资源 包含 。 

。x: 反 向 连接 选项 。 

例如 ,在 命令 行 输入 

nikto.pl -h http://scarme.rmap.org/ -T 1 


结果 如 图 9-14 所 示 。 


admin \Desktop\nikto\nikto\progran)nikto.pl -h http://scanne.nnap.org 


d HTTP Met 


图 9-14 -T 扫描 方式 


9313 -u 使 用 代理 
使 用 在 nikto. conf 中 定义 的 代理 的 命令 如 下 : 
- u (useproxy) 
例如 ,在 命令 行 输入 
nikto.pl -h http://scarme.rmap.org/ -u 
结果 如 图 9-15 所 示 。 
931 -0 输出 文件 
输出 到 指定 文件 的 命令 如 下 : 
~o(output) 
例如 ,在 命令 行 输入 
nikto.pl -h http://scarme.rmap.org/ - o output.txt 


结果 如 图 9-16 所 示 。 


:nikto nikto 


get Hostnane: 


t Por 
tart Time 


: Apache, 


ved HTTP Me 


DB-578: GET 


ion of command 


itens chec 
+ End Tine: 


+ 1 host( 


:Miktonikto 


nikto nikto-2.@ 


Nikto 2.81/2.81 
Target IP 
Target Hostname: 
Target Port: 
art Tim 


Apache/2 
Allow 
OSUDB-3268: GET 
2963 items checke 
End Tine: 


1 host(s) tested 


-Bi»nikto.pl 


HTTP Methods: GET, HERD, POST 
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h http://scanne.nnap.org/ -u 
cirt.net 
156 

canne -nmap-org 


5-04-20 17:85:41 


(Ubuntu) 


thods: GET, HEAD, POST, OPTIONS y be proxy's methods, not se 


level/3 c//show : CISCO HTIP se 
rd This night be inte: 
: Direc 
4 让 em 


esting 


inage y indexing is enabled: /inages 


) reported on remote host 


45 (1284 


econd 


9-15 -u FARE 


i»nikto.pl -h http://scanne.nnap.org/ -o output.txt 


cirt.net 
156 


(Ubuntu) 
OPTIONS 


ina : Directory indexing is enabled: /inage 


d: 2 ) reported on 
《1285 


enote host 


econds? 


nikto nikto-2.81> 


} 到 的 输 


9-16 -0 输出 文件 


文件 结果 如 图 9-17 所 示 。 


这 台电 脑 OS(C) » nikto » 


^ & * 


docs 
kbase 
plugins 
templates 
E] config. 
@niuopl 
E] output 


nikto-2.01 


9315 -F 输 出 格式 


图 9-17 输出 文件 


下 命令 指定 检测 报告 输出 文件 的 格式 ,默认 是 txt 文件 格式 (可 以 是 htm、csv、txt 或 


xml 格式 ) : 
-文件 格式 ) 


ap 


"qp/ unm SPEI S TREE 


9.4 报告 分 析 


在 Google 搜索 中 有 这 样 一 份 报告 : http://www. ruben-alves. com/ficheiros/nikto- 
AT-localhost. html, 本 节 以 此 为 例 。 
提示 : 这 是 一 份 html 格式 的 报告 ,生成 命令 为 


perl nikto.pl -h xxxx - o result.html - F html 


但 是 html 格式 的 报告 比 txt 格式 的 报告 清晰 很 多 ,建议 使 用 html 报告 格式 ,如 图 9-18 所 
示 , 该 报告 展示 了 关于 Nikto 的 信息 ,包括 软件 名 称 ,版 本 号 和 命令 行 参数 。 


Software Details 
CLI Options -host bcahost -output nktoGlocahost -F html 
Hosts Tested 1 


图 9-18 Nikto 信息 


如 图 9-19 所 示 ,扫描 报告 展示 的 是 目标 服务 器 相关 信息 ,包括 TP ,域名 .端口 号 .Web 


服务 器 等 。 
Target IP 127004 
Targethostname — locahcst 
Target Port 80 
HTTP Server Apache/2.2.4 (Ubuntu) PHP/S.2.3-ubuntué 
Start Time 2007-11-14 0:09:00 
End Time 2007-11-14 0:09:00 
Elapsed 17 Seconds 
Site Link (Name) 
Site Link (IP) htzp;//127.0.0.1:8C 
Items Tested 4342 
Items Found 8 


图 9-19 目标 服务 器 相关 信息 


扫描 后 Nitko 针对 服务 器 提出 的 几 种 建议 如 图 9-20 所 示 。 


Information OSVDB-877: HTTP method (Abw Header): 'TRACE s typcaly only used for debugging and should be dsabled. 
This message does not mean t is vuherable to XST. 

OSVDB Entries D8-87 

Information PHP/5.2.3-1ubuntu6 appears to be outdated (current is at least 5.2.4) 

OSVDB Entries 

Information Apache/2.2.4 appears to be outdated (current is at least Apache/2.2.6). Apache 1.3.39 and 2.0.61 are also 
curert. 

OSVDB Entries 

Information PHP/5.2.3-1ubuntu6 appears to be outdated (current is at least 5.2.4) 

OSVDB Entries 


920 ”针对 服务 器 的 建议 
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图 9-21 和 图 0-22 是 比较 重要 的 内 容 , 重 点 查看 有 关 描 述 。 


URI /ndex.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 

HTTP Method GET 

Description PHP reveals potentaly senstve nformaton via certain HTTP requests which contain speafc QUERY strings. 

《访问 上 面 的 url， 我 们 发 现 其 实 是 phpinfo 页 面 啊 ， 确 实 包含 了 很 多 敏感 信息 ) 

Test Links http://localhost:80/ndex.php? - PHPBBBSF2A0-3C92-11d3-A3A9-4C7BO8C10000 
http://127.0.0.1:80/index.php?- PHPB8BSF2A0-3C92-11d3-A3A9-4C7B08C10000 

OSVDB Entries )SVDB-1218 

URI phpinfo.php 

HTTP Method GET 

Description Contans PHP configuration information 

Test Links http://locahost:80/phpnfo.php 
http://127.0.0. 1:80/phpinfo.pho. 

OSVDB Entries 23; 


图 9-21 扫描 到 的 漏洞 (1) 


图 9-21 显示 的 是 页 面 敏 感 信息 ,图 9-22 显示 的 是 数据 库 访问 权限 问题 。 


URI [phomyadrmin/ 
( 这 是 相对 于 host 的 路 径 》 
HTTP Method GET 


Description phpMyAdmin is for managing MySQL databases, and should be protected or Imited to authorized hosts. 
(phpmyadmin 是 负责 管理 mysq| 数 据 库 的 页 面 ， 应 该 限制 访问 权限 ) 
Test Links http://bcahost:80/phpmyadmn/ 
http:j/127.0.0.1:80/phpmyadmi 
OSVDB Entries OSVDB-3092 
URI /icons/ 
HTTP Method GET 
Description Drectory indexing s enabed: /icons indexing 
(BGB GRO 
Test Links http://bcahost:80/icons/ 
http://127.0.0.1:80/icons/ 
OSVDB Entries OSVDB-3268 


图 9-22 扫描 到 的 漏洞 (2) 


9.5 本 章 小 结 


Nikto 是 一 个 用 来 发 现 默认 网 页 文件 .检查 网 页 服务 器 和 CGI 安全 问题 的 工具 。 它 
对 远程 主机 使 用 大 量 请 求 ,这 些 过 量 的 请 求 可 能 会 导致 远程 主机 宕 机 。Nikto 可 能 会 损 
害 主机 、 远 程 主机 和 网 络 。 某 些 选项 可 能 对 目标 产生 超过 70 000 个 HTTP 请 求 。 同 样 
从 网 站 更 新 的 插件 也 不 能 保证 对 系统 无 害 , 选 择 权 在 用 户 手 中 。 

Nikto 工具 可 以 帮助 用 户 对 Web 的 安全 进行 审计 ,及 时 发 现 网 站 存在 的 安全 漏洞 ， 
对 网 站 的 安全 做 进一步 的 扫描 评估 。 从 本 章 几 个 简单 的 例子 便 可 以 看 出 ,Nikto 扫描 的 
结果 相对 模糊 ,每 次 扫描 的 时 间 也 比较 长 ,没有 简单 的 操作 界面 ,与 其 他 工具 的 扫描 结果 
相 比 也 没有 很 清晰 的 报告 分 析 。 这 里 之 所 以 列 出 来 ,是 为 了 让 读者 了 解 更 多 的 Web 安全 
知识 ,例如 CGI 和 Cookies, 有 兴趣 的 读者 可 以 对 此 工具 进行 深入 的 研究 。 
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当然 ,Nikto 工具 有 许多 命令 ,本 书 只 列举 了 15 个 命令 ,其 他 命令 可 以 通过 -H 获得 
命令 使 用 帮助 。 


1. 简 述 Nikto 工具 的 主要 功能 。 


2. 简 述 Nikto 的 使 用 方法 和 各 命令 的 主要 作用 。 
3. 尝试 对 Nikto 报告 进行 分 析 。 


Web 服 务 器 指纹 识别 工具 Hitprint 


10.1 Httprint 简介 


如 果 能 够 获得 一 个 Web 服务 器 的 版 本 信息 ,而 那个 版 本 的 服务 器 存在 着 安全 漏洞 , 那 
么 攻击 者 就 可 以 通过 那些 漏洞 攻击 目标 主机 。Httprint 是 Net-square 公司 开发 的 一 个 免费 
的 Web 服务 器 的 指纹 识别 工具 。 通 常 可 以 通过 隐藏 服务 器 的 标识 信息 (例如 设置 Apache 
的 配置 文件 httpd-default conf 中 的 ServerTokens 为 Prod. ServerSignature 为 off, 则 可 以 让 
Apache 不 返回 服务 器 的 信息 ) 或 者 使 用 像 mod_security 或 ServerMas10 这 样 的 插件 来 模糊 
化 服务 器 的 特征 ,Httprint 仍然 可 以 比较 精确 地 识别 Web 服务 器 。Httprint 也 能 够 用 来 检 
测 没有 标识 信息 的 网 络 设备 ,如 无 线 接 入 点 路 由 器 交换机、 有 线 调 制 解 调 器 等 。 


1011 Htprirt 的 原理 


Httprint 是 利用 不 同 服务 器 对 HTTP 协议 执行 中 的 微小 差别 来 进行 服务 器 识别 的 
TR. 例如, 下面 是 3 种 服务 器 的 响应 首部 信息 。 
Apache 1. 3. 23 服务 器 : 


HITP/1.1 200 OK 

Date: Sun, 15 Jun 2003 17:10:49 QT 

Server: Apache/1.3.23 

Last— Modified: Thu, 27 Feb 2003 03:48:19 GMT 
ETag: "32417- c4- 3e5d8a83" 

Acoept- Ranges: bytes 

Content- Length: 196 

Connection: close 

Content- Type: text/html 


Microsoft IIS 5. 0 服务 器 : 


HTTP/1.1 200 OK 

Server: Microsoft- IIS/5.0 

Expires: Tue, 17 Jun 2003 01:41:33 avr 

Date: Mon, 16 Jun 2003 01:41:33 GMT 

Content- Type: text/html 

Accept- Ranges: bytes 

last-Modified: Wed, 28 May 2003 15:32:21 GMT 
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ETag: "b0aac0542e25c31 : 89d" 
Content- Length: 7369 


Netscape Enterprise 4. 1 服务 器 : 


HTTP/1.1 200 OK 

Server: Netscape- Enterprise/4.1 

Date: Mon, 16 Jun 2003 06:19:04 QT 

Content- type: text/html 

Tast- modified: Wed, 31 Jul 2002 15:37:56 QT 

Content- length: 57 

Acoept- ranges: bytes 

Connection: close 

如 果 服 务 器 的 标识 信息 被 ServerMas10 隐藏 了 ,还 可 以 将 服务 器 Date 和 Server 等 
的 排列 方式 来 作为 识别 依据 。 表 10-1 列 出 了 一 些 差别 。 


表 10-1 不 同 版 本 实现 HTTP 的 细节 差异 


Server Apache/1.3.23 Microsoft-IIS/5. 0 Netscape-Enterprise/4. 1 
Field Ordering Date. Server Server, Date Server, Date 
DELETE Method 405 403 401 

Improper HTTP version 400 200 505 

Improper protocol 200 400 No header 


通过 各 种 差别 , Httprint 会 为 服务 器 生成 十 六 进 制 编码 的 ASCH 码 串 , 例 如 ， 


Microsoft- IIS/5.0 
CDP696FD6FDBC295P4B1653082C10D64050C5DP594DF1BD04276E4BB8]11C9DC50D7645B5811 
C9DCS2A200B4C9D69031D6014C217811C9DC5811C9DC52 655F 350F0CC535BE2CE6S? 3EZCE. 
69232 FCDB61AE2CE692 725 168 1692 CE92 6CD 698FDGED3C2 95E2CE692009DB9B3E811C9 


Bpache/2.0.x 

SEA3TBCBGEDSC295811C9DC581 1C9DCS050C5DG2505FCEE842 TG:ABB81 1C9DCS0D7645B5811. 
C9DC5811C9DC5CD3718 CLIDDC 7D7811C9DC5811C9DC58A91CES 7EOCCS35BGED3C295F00C 
S35B811C9DCSE2CE692 7050C5D336ED3C29598431BC86:D3C2 95E2CE692 6222 00BACGEDSC. 
295G:D3C295G:D3C295G:D3C295E2CE692 3E2CEG9?36ED3C2 9581 IC9DCSE2 CE? TEXCEG903. 


Httprint 先 把 一 些 HTTP 签名 信息 保存 在 一 个 文档 里 ,然后 分 析 那 些 由 HTTP 服 
务 器 产生 的 结果 。 当 发 现 那些 没有 列 在 数据 库 中 的 签名 信息 时 ,可 以 利用 Httprint 产生 
的 报告 来 扩展 这 个 指纹 签名 数据 库 , 在 下 次 运行 Httprint 时 ,这 些 新 加 的 签名 信息 也 就 
可 以 使 用 了 。 

有 了 签名 信息 的 文档 ,再 运用 统计 学 原理 和 模糊 逻辑 技术 ,Httprint 能 很 有 效 地 确定 
HTTP 服务 器 的 类 型 。 下 面 给 出 一 些 基本 的 概念 和 识别 的 算法 。 

(1) 签名 集 : S— (sis es) ,其 中 是 指纹 引擎 所 了 解 的 签名 的 个 数 ,s; 代表 签名 
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库 中 第 i 个 签名 。 


(2) 返回 签名 : 代表 对 一 个 未 知 服务 器 进行 指纹 测试 的 返回 签名 信息 ,用 ss 来 表示 。 

G) 比较 函数 和 权 值 : wi; 二 fw(sg si) ,将 一 个 从 所 测试 的 服务 器 中 返回 的 签名 与 签 
名 集中 的 签名 进行 比较 ,得 到 的 值 就 是 权 值 , 从 sr sio; 的 映射 关系 就 是 比较 函数 fw。 

(4) 权 值 向 量 : W= {wi ,ws ,… ,rw,) ,表示 位 置 签名 和 所 有 签名 集中 签名 所 得 到 的 权 
值 所 构成 的 向 量 。 

(5) 置信 度 : c; fe Gu; M) ,ci 是 签名 s; 在 整个 签名 集 $ 中 最 匹配 的 概率 ,其 中 fc 是 
模糊 逻辑 函数 。 

(6) 置信 向 量 : C= (e cs ,cv } 为 置信 度 所 构成 的 向 量 。 

(7) 最 大 置信 度 : cmax 表示 置信 向 量 C 的 最 大 分 量 的 值 。 

(8) 最 匹配 向 量 : M={smaxA, smaxB.--) 表示 置信 度 等 于 cmax 的 所 有 签名 构成 
的 向 量 。 

有 了 以 上 的 概念 ,再 给 出 分 析 算 法 。 

算法 10.1 


1. 加 载 签名 集 $= (s, sn, s} 
2. 运行 指纹 引擎 ,得 到 返回 签名 s 
3. for i-1..n 
w-fw(x, s) 
end 
4. for icl.n 
G-fc(u, M 
end 
5. arex- mex (C) 
6. M- () 
7. for icl.n 
if G= aux then 
MM) (s) 
end if 
end 
8. print M 


1012 Httprirt 的 特点 


Httprint 具有 以 下 特点 ， 

(D) Httprint 能 够 在 Web 服务 器 的 标识 信息 或 其 他 信息 被 模糊 化 的 情况 下 进行 服 
务 器 的 识别 。 

(2) Httprint 能 够 盘点 网 络 设备 如 打印 机 、 路 由 器 、 交 换 机 和 无 线 接 人 设备 等 。 

(3) Httprint 使 用 置信 度 来 找到 最 佳 匹配 。 它 不 是 使 用 了 最 高 权重 的 方法 ,而 是 用 
了 模糊 逻辑 技术 。 

(4) Httprint v0. 301 是 一 个 完全 重 写 的 以 多 线程 为 特色 的 扫描 工具 。 它 能 够 并 行 扫 
描 多 个 主机 ,从 而 大 大 减少 了 扫描 时 间 。 
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(5) Httprint 能 收集 SSL 认证 信息 ,帮助 用 户 识别 过 期 的 证 书 、 加 密 方 式 、 证 书 颁发 
者 和 其 他 一 些 与 SSL 相关 的 细节 。 

(6) Httprint 能 够 自动 检测 一 个 端口 的 SSL 是 否 打 开 , 如 果 需 要 , 它 能 自动 转 到 SSL 
连接 。 

(7) Httprint 能 够 自动 进行 301 和 302 的 重 定向 跳 转 。 很 多 将 自身 内 容 转 移 到 其 他 
服务 器 的 服务 器 会 给 所 有 的 HTTP 请 求 发 送 一 个 默认 的 重 定向 响应 。Httprint 能 够 跟 
踪 新 指向 的 链接 。 如 果 需 要 ,这 个 功能 能 够 关闭 。 

(8) Httprint 能 够 导入 Nmap 工具 的 XML 输出 结果 。 

(9) Httprint 可 以 导出 HTML、CSV 和 XML 格式 的 结果 。 

(10) Httprint 可 以 在 Linux、MacOS X、FreeBSD( 只 能 在 命令 行 方式 下 ) 和 Win32 
(命令 行 和 图 形 界面 ) 下 使 用 。 


10.2 ”Httprint 的 目录 结构 


在 Httprint 的 官网 http://www. net-square. com/httprint. html 下 载 Httprint 之 
后 ,无 须 进行 安装 ,直接 解压 后 就 能 够 使 用 该 工具 。 该 工具 包含 images、httprint、httprint 
_gui( 只 在 Windows 中 存在 ) „input. txt、nmapportlist. txt、readme. txt \signatures. txt, 

(D) images 文件 夹 包含 该 软件 的 图 片 元 素 。 

(2) httprint 为 可 执行 文件 ,是 该 软件 提供 的 操作 接口 。 

(3) httprint_gui 是 该 软件 的 图 形 界面 。 

(4) input. txt 是 该 软件 的 默认 输入 文件 。 

(5) nmapportlist 是 在 导入 Nmap 输出 结果 时 用 于 识别 端口 的 文件 。 

(6) readme. txt 是 说 明文 档 ,包含 了 软件 的 使 用 手册 信息 等 。 

(7) signatures. txt 是 用 来 存储 服务 器 指纹 信息 的 文件 ,是 识别 的 依据 ,用 户 能 够 扩 
展 该 文件 。 


10.3 Httprint 图 形 界面 


Httprint 只 在 Windows 系统 下 提供 图 形 界 面 。 
1031 主 窗口 


主 窗口 由 8 个 部 分 组 成 ,如 图 10-1 所 示 。 

第 四 部 分 是 输入 文件 导入 选择 区 域 。 

第 四 部 分 是 签名 文件 导入 选择 区 域 。 

第 @ 部 分 是 需要 识别 的 服务 器 名 称 、 结 果 概 要 的 显示 区 域 。 
第 @ 部 分 是 服务 器 类 型 版 本 号 以 及 指纹 信息 的 显示 区 域 。 
第 句 部 分 是 待 识别 服务 器 为 某 一 种 情况 的 置信 度 。 

第 @ 部 分 是 探测 SSL 得 到 信息 的 显示 框 。 
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Tout File 


O xj wt Wr A 

z " ， 
Q Fr Wsers ber Whesktop eh securi tylhttprint\sigasture: G| LE 

[west [tet Tener Reported | Banner Dadaead E * 
G 
@ 
© © 
© [ [E Weersrhekteg we securi tylhttprintihttprintot | reca] >J] Clew A] Options 

Ready E > 
1-1 主 窗口 的 布局 
第 〇 部 分 是 保存 文件 的 界面 。 
第 @ 部 分 是 开始 ,停止 清除 .配置 的 操作 部 分 。 
1032 配置 窗口 


配 图 窗口 中 的 选项 有 连接 、ICMP、 重 定向 CT. 用户 代理 线程 个 数 和 SSL 检测 ,如 
图 10-2 所 示 。 
(1) 连接 (Connection) 选 项 可 以 设置 每 次 连 i 
接 的 超时 时 间 限 制 和 允许 进行 连接 的 最 大 次 数 。 remm Pom mo mw oz 


FIOB (Ping before testing)-301/302 Auto redirect- 


(2) ICMP 选项 可 以 设置 识别 前 是 否 进行 D im ad F Redirectio 
Ping 操作 。 mee deo zb | was FR 

(3) 重 定向 (Redirection) 用 于 设置 在 检测 过 | [SET | 
程 中 是 否 自 动 重 定向 Custom VÀ: proci. o (httprint) 

4) CT 可 视 为 系统 变量 , 取 默 认 值 75, 用 户 [nes EC RE || F neia 
不 要 改变 。 Lum | 

(5) 用 户 代理 (User-Agent) 选 项 可 以 设置 


代理 。 图 10-2 配置 窗口 


(6) 线程 (Threads) 可 以 设置 线程 的 个 数 。 
(7) SSL 自动 检测 (SSL Auto detect) 选 项 可 以 指定 是 否 进行 SSL 检测 。 


1033 操作 说 明 


在 使 用 该 软件 之 前 , 先 单 击 图 10-1 中 第 @ 部 分 的 Options 按钮 进行 所 需 的 配置 。 对 
于 需要 识别 的 服务 器 ,用 户 可 以 用 两 种 方式 输入 ,或 者 先 选 好 要 导入 的 文件 (支持 TXT 
和 XML 两 种 格式 ) ,再 单 击 Load 按钮 ,或 者 直接 在 图 10-1 中 第 @ 部 分 的 Host 和 Port 区 
域 输入 相应 的 主机 名 (支持 URL 和 TP 地 址 ) 和 端口 号 。 接 着 单 击 第 @ 部 分 的 开始 按钮 
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(绿色 三 角形 ) ,然后 识别 的 结果 会 在 相应 的 显示 部 分 显示 出 来 。 


1034 使 用 举例 


在 图 10-1 中 第 @ 部 分 的 Host 和 Port 区 域 分 别 输入 demo. testfire. net 和 443, 然 后 
在 第 @ 部 分 右 击 ,在 快捷 菜单 中 选择 add 命令 ,再 输入 www. apache. com 和 80 ,得 到 的 结 
果 如 图 10-3 所 示 。 


四 Microsoft-IIS/8.0 Merosoft-IIS/6.0 
口 Apache/2.4.7 (Ubuntu) Apsche/2.0. x 


ERES 
|C9DC5811C9DC5811C9DC594DF1BD04276E4BB630A04DB. 
AE ES 


B 

'"ACD4 1D36ED3( 

ER 
923E2CE6923811 69272576B7696ED3C2' 

EEIE 2 a SELCE BEDE 2 SEEDOCSSEDICOSSEACRLDOÀ 


Report File 
| Wiers\rengengfan\Desktop\ 


pie DJ] Clew AUI) Options | 


httprint has been completed.. - = 


图 10-3 图 形 界 面 运行 示例 


web securi tyihttprint\hi 


10.4 Httprint 命令 行 


1041 命令 介绍 


Httprint 命令 行 操作 就 是 将 图 形 界面 操作 用 命令 的 形式 来 表达 。 命 令 行 可 以 在 
Windows, Linux, MacOS X 和 FreeBSD 中 使 用 ,命令 的 一 般 格式 为 


httprint (-h <host> | - i«input file | - x <Nrap XML file» } - s < signatures» 
[... options] 

(1) -h 选项 用 来 指定 主机 名 。 可 以 是 URL, 也 可 以 是 IP 地 址 。 

(2) -i 选项 用 来 指定 导 和 文本 文件 。 输 入 格式 为 一 行 输入 一 个 主机 。 

(3) -x 选 项 用 来 指定 导入 XML 文件 。 该 XML 文件 是 由 Nmap 工具 的 -oX 选项 生 
成 的 。 端 口号 是 在 nmapportlist. txt 中 得 到 的 。 

(4) -s 选项 用 来 指定 指纹 签名 信息 文件 的 路 径 。 

(5) -o 选项 可 以 指定 输出 结果 为 HTML 格式 。 

(6) -oc 选项 可 以 指定 输出 结果 为 CSV 格式 。 

CT) -ox 选项 可 以 指定 输出 结果 为 XML 格式 。 


第 10 章 Vb 服务 器 指纹 识别 工具 Htpirt 


(8) -noautossl 选项 可 以 用 来 关闭 自动 检测 SSL 的 功能 。 

(9) -tp 选项 用 来 指定 Ping 命令 的 超时 时 间 ; 默 认为 4000ms, 最 大 为 30 000ms。 
0) -ct 选项 的 范围 是 1~100, 默 认 值 为 75, 请 不 要 改变 。 

1) -ua 选项 用 来 设置 代理 ,默认 值 为 Mozilla/4.0。 

2) -t 选项 用 来 指定 连接 超时 时 间 。 

3) -选项 用 来 指定 最 大 的 连接 次 数 。 

4) -P0 选项 用 来 关闭 Ping, 即 检测 前 不 进行 Ping 操作 。 

5) -nr 选项 表示 不 进行 自动 重 定向 。 

6) -th 选项 用 来 指定 线程 的 个 数 。 

7) -? 选 项 用 来 显示 帮助 信息 。 


1042 使 用 举例 


在 命令 行 输入 httprint -h demo. testfire. net -s signatures, txt -o out. html ,实验 结果 
如 图 10-4 所 示 。 


在 上 面 的 例子 中 ， "pen 显示 了 被 测 服务 器 的 签名 信息 ,将 这 些 信 息 同 数据 库 中 已 
有 的 签名 进行 比较 ,然后 对 每 AL cuam 最 符合 的 。 此 例 中 ， 
Apache/2. 0. x 分 数 最 高， 所 以 判断 Apache/2. 0. 22 是 最 合适 的 。 


10.5 Httprint 报告 


Httprint 支持 HTML,CSV,XML 三 种 格式 的 导出 。 其 中 HTML 格式 最 易于 阅读 。 
v0. 301 支持 SSL 的 分 析 ,报告 上 也 包含 了 这 一 部 分 的 信息 ,如 图 10-5 所 示 。 
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htt 
Rint web server fingerprinting report 


图 10-5 报告 样式 


10.6 Httprint 准确 度 和 防护 


1061 Hipirt 的 准确 度 影响 因素 


从 Httprint 的 工作 原理 上 来 分 析 , 在 下 面 的 情况 下 Httprint 扫 面 结果 的 准确 度 会 受 
到 影响 。 

(1) 如 果 Web 服务 器 之 前 存在 着 负载 均衡 器 或 者 代理 服务 器 ,那么 HTTP 请 求 会 
被 重 写 ,原始 HTTP 请 求 模糊 化 ,HTTP 响应 也 受 影响 。 

(2) 重 定 向 问题 。 最 新 版 本 的 Httprint 能 够 自动 跟踪 重 定 向 地 址 ,从 而 解决 了 该 
问题 。 

G) 当 服 务 器 的 签名 不 在 signature. txt 里 面 时 , 它 给 出 的 每 个 结果 的 置信 度 都 很 低 ， 
分 析 者 应 该 意识 到 服务 器 版 本 不 在 当前 指纹 签名 数据 库 里 面 。 


1062 Hitprirt 的 防护 


Httprint 的 准确 度 没有 人 的 指纹 识别 那么 高 ,但 是 使 用 者 可 以 用 一 些 手段 来 对 Web 
服务 器 进行 伪装 。 下 面 提供 4 种 方法 。 

(1) 改变 服务 器 的 服务 器 标识 信息 。 

(2) 去 除 HTTP 首部 或 者 将 首部 重 排 。 

(3) 自 定义 错误 代码 ,如 404 和 500。 

(D 使 用 HTTP 服务 器 插件 。 


10.7 Httprint 使 用 中 的 问题 


Httprint 的 强大 之 处 就 在 于 ,尽管 可 以 用 ServerMask 这 样 的 软件 来 模糊 指纹 ,但 是 
仍然 可 以 被 Httprint 这 样 利用 统计 学 原理 进行 识别 的 软件 打败 。 

Httprint 的 不 足 之 处 就 是 它 主要 探测 服务 器 类 型 和 版 本 ,对 服务 器 产生 的 影响 较 小 。 
用 户 使 用 别 的 探测 工具 得 不 到 服务 器 的 具体 类 型 和 版 本 时 ,可 以 尝试 使 用 Httprint。 

Httprint 专注 于 探测 服务 器 类 型 和 版 本 ,适合 与 别 的 工具 混合 使 用 , 因 功 能 专 一 而 使 
扫描 结果 更 准确 。 

在 使 用 Httprint 中 最 常 遇 到 以 下 几 个 问题 ,在 此 列 出 供 大 家 思考 ,有 兴趣 的 读者 还 
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可 以 寻找 解决 方法 ,这 样 不 仅 能 提高 学 习 热 情 , 更 有 助 于 深入 了 解 此 工具 ,还 能 在 Web 安 
全 方面 有 大 的 提升 。 

问题 如 下 : 

(1) 如 果 在 没有 管理 员 权 限 的 情况 下 使 用 Httprint, 而 没有 将 ICMP 选项 关闭 ,那么 
将 会 显示 ICMP 超时 的 信息 。 

(2) 如 果 导 入 的 Nmap 的 文件 中 TP 地 址 的 格式 不 能 被 Httprint 识别 ,那么 需要 手动 
修改 。 

(3) 在 Ubuntu 和 CentOs 下 使 用 时 ,如 果 主 机 名 是 URL 会 出 错 ,没有 -P0 选项 也 会 
出 错 。 


10.8 本 章 小 结 


Httprint 是 一 款 根据 服务 器 实现 HTTP. 协议 的 细节 特征 来 识别 服务 器 信息 的 软件 。 
根据 现 有 服务 器 的 指纹 信息 ,再 结合 模糊 逻辑 技术 ,该 软件 能 够 有 效 识别 未 知 服务 器 。 很 
多 同类 型 的 软件 在 服务 器 做 了 简单 的 防护 后 就 会 失效 ,而 想 要 防 住 Httprint, 管 理 员 需 
采取 更 多 的 措施 。 

该 工具 简单 小 巧 ,操作 简单 ,功能 虽然 单一 ,但 是 很 强大 。 在 Windows 环境 下 它 提供 
了 图 形 化 界面 操作 方式 和 命令 行 操 作 方 式 。 它 还 有 丰富 的 配置 选项 供用 户 根据 需要 选 
择 。 此 外 , 它 支持 3 种 格式 的 报告 ,样式 美观 。Httprint 对 用 户 来 说 非常 友好 。 

官方 网 站 上 对 Httprint 的 原理 、 操 作 以 及 防护 都 做 了 比较 详细 的 介绍 ,让 用 户 能 够 
更 加 深入 地 理解 该 软件 。 


B 考题 
1. 简 述 Httprint 工具 的 工作 原理 。 


2. 简 述 Httprint 的 使 用 方法 .配置 以 及 各 个 选项 的 作用 。 
3. WX} Httprint 进行 防护 。 


遍历 Web 应 用 服务 器 目录 和 与 
文件 工具 DirBuster 


11.1 DirBuster 简介 


DirBuster 是 一 个 多 线程 的 基于 Java 的 应 用 程序 设计 蛮 力 遍历 Web 应 用 服务 器 上 
的 目录 和 文件 名 的 工具 。 

寻找 敏感 的 目录 文件 和 文件 夹 在 Web 应 用 程序 渗透 测试 中 始终 是 一 个 相当 艰巨 
的 工作 。 现 在 用 户 往往 看 不 到 这 些 默认 安装 的 文件 和 目录 ,在 昔日 找 出 敏感 的 页 面 真 
的 是 一 种 挑战 。 在 这 种 情况 下 ,DirBuster 为 发 现 那些 未 知 的 和 敏感 的 文件 名 和 目录 而 
诞生 。 

DirBuster 是 一 个 免费 但 不 开源 的 软件 ,有 关 DirBuster 的 各 种 版 本 介绍 及 下 载 链接 
请 访问 https://www. owasp. org/index. php/Category:OWASP_DirBuster_Project。 


11.2 DirBuster 下 载 安 装 及 配置 环境 


1121 DirBuster T E 


下 载 地 址 如 下 : 

https://www. owasp. org/index. php/Category: OWASP DirBuster Project 

下 面 以 DirBuster-0. 12 为 例 , 介 绍 如 何 安装 DirBuster、 配 置 环境 及 进行 渗透 测试 。 
将 下 载 的 压缩 包 解压 缩 到 指定 文件 夹 并 双击 打开 ,打开 后 的 文件 夹 如 图 11-1 所 示 。 
其 中 DirBuster. jar 即 为 应 用 程序 。 


1122 DirBuster 环境 配置 


直接 双击 DirBuster. jar 打开 工具 ,但 不 一 定 都 可 以 打开 ,因为 这 是 一 个 .jar 程序 ,所 
以 必须 要 配置 Java 程序 的 环境 才 可 运行 。 当 然 , 如 果 直 接 双击 可 以 运行 ,表明 你 的 计算 
机 已 经 配置 好 了 环境 ,可 以 跳 过 下 面 这 些 步骤 。 

(1) 下 载 jdk。 

(2) 安装 jdk。 选 择 安装 目录 。 安 装 过 程 中 会 出 现 两 次 安装 提示 。 第 一 次 是 安装 
jdk, 第 二 次 是 安装 jre。 建 议 两 个 都 安装 在 同一 个 Java 文件 夹 中 的 不 同 子 文件 夹 中 (不 
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Lh 13 个 对 象 


图 11-1 解压 缩 后 的 文件 


能 都 安装 在 Java 文件 夹 的 根 目录 下 ,jdk 和 jre 安装 在 同一 
文件 夹 会 出 错 ) ,如 图 11-2 所 示 。 

(D 安装 jdk。 随 意 选 择 目 录 , 只 需 把 默认 安装 目录 中 \ 
java 之 前 的 目录 修改 为 相应 的 目录 即 可 。 

@ 安装 jre。 更 改 \java 之 前 的 目录 和 安装 jdk 的 目录 | 
相同 。 

ik: 若 无 安 装 目录 要 求 ,可 全 部 采用 默认 设置 ,无 需 做 
任何 修改 ,两 次 均 直 接 单 击 * 下 一 步 ? 按 钮 。 图 11-2 安装 目录 

安装 完 jdk 后 配置 环境 变量 : 依次 选择 “计算 机 ”>“ 属 
性 ”>“ 高 级 系统 设置 ">“ 高 级 ">" 环境 变量 "(如 图 11-3 所 示 ) 。 

在 系统 变量 中 新 建 JAVA HOME 变量 ,变量 值 填写 jdk 的 安装 目录 (本 书 为 E:\ 
Java\jdk1. 7.0), 

在 系统 变量 中 寻找 Path 变量 ,然后 单 击 “ 编 辑 ” 按 钮 ,在 变量 值 最 后 输入 


SIAVA HOMES Vbin;&JAVA HOMES\jre\bin; 

注意 ,原来 Path 的 变量 值 末尾 有 没有 “;” 号 ,如 果 没 有 , 先 输入 “;” 号 , 青 输入 上 面 的 
代码 ,如 图 11-4 所 示 。 

在 系统 变量 中 新 建 CLASSPATH 变量 ,变量 值 填写 为 


iS JVA HOMES \1ib;$JAVA HOMES\1ib\tools.jar 


注意 最 前 面 有 一 个 英文 点 。 
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11-3 配置 环境 


系统 变量 配置 完毕 ,如 图 11-5 所 示 。 


Path x82 CLASSPATH 
zh-Stati c: XTAVA_HOMEX\bin; JAVA. HOME me | XTAVA_HOMEX\ Lib; KTAVA, HONERMLi Atos 
aE 取消 cg 
图 11-4 Path 变量 图 11-5 CLASSPATH 变量 


检验 是 否 配置 成 功 ,运行 cmd 在 命令 行 输入 
java - version (java 和 -version 之 间 有 空格 ) 


若 显 示 图 11-6 所 示 的 版 本 信息 , 则 说 明 安装 和 配置 成 功 。 


图 11-6 检查 环境 配置 是 否 成 功 


11.3 DirBuster 界面 介绍 


本 节 介 绍 DirBuster 的 界面 布局 及 相关 输入 的 含义 ,以 便于 用 户 更 好 地 了 解 及 使 用 。 
1131 DirBuster 界面 总 览 


双击 打开 DirBuster. jar 之 后 ,出 现 图 11-7 所 示 的 界面 。 需 要 注意 的 是 ,界面 中 如 果 
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找 不 到 Start 按钮 ,需要 手动 将 页 面 上 边框 拉 长 。 


图 11-7 工具 总 界面 
运行 DirBuster 时 , 单 击 Start 按钮 ,将 出 现 猜 解 界面 ,如 图 11-8 所 示 。 


图 11-8 ERE 


^e) vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


1132 DirBuster 界面 功能 组 成 


DirBuster 界面 功能 组 成 如 图 11-7 所 示 , 从 上 到 下 依次 是 
(1) Target URL: 网 站 域名 及 端口 号 输入 。 

(2) Work Method: 工作 模式 选择 。 

(3) Number Of Threads: 运行 时 线程 数 设 置 。 

(4) Select scanning type: 扫描 模式 选择 。 

(5) File with list of dirs/files: 外 部 文件 路 径 输 入 。 

其 他 选项 可 以 满足 一 些 特殊 猜 解 的 要 求 ,比如 ,可 以 选择 猜 解 目录 还 是 文件 (默认 状 
态 下 都 猜 解 ) ,选择 是 否 通过 递归 的 方法 进行 网 站 猜 解 ,以 及 可 以 输入 开始 目录 和 扫描 范 
围 等 。 

这 些 功能 及 具体 输入 详 见 11.4 节 。 


11.4 DirBuster 的 使 用 
141 输入 网 站 域名 及 端口 号 


输入 http://demo. testfire. net:80, 如 图 11-9 所 示 。 


®@ OWASP DirBuster 0.12 - Web Application Brute Forcing 
File Options About Help 


Fee m] 


Target URL (eg http;//example.com:80/) 
http://demo.testfire.net80/ 


Work Method O Use GET requests only ©) Auto Switch (HEAD and GET) 


11-9 输入 网 站 域名 及 端口 号 


第 二 栏 是 选择 工作 模式 ,选择 只 使 用 GET 请 求 ,还 是 同时 选择 HEAD 和 GET 请 
求 ,默认 情况 是 同时 选择 HEAD 和 GET。 其 中 HEAD 和 GET 含义 如 下 : 

(1) HEAD: 只 请 求 页 面 的 首部 。 

(2) GET: 请 求 指定 的 页 面 信息 ,并 返回 实体 主体 。 


142 选择 线程 数目 


如 图 11-10 Bros ,可 以 选择 线程 个 数 , 因 为 这 是 一 个 多 线程 协作 的 开发 工具 ,最 高 可 
达 100 个 线程 ,如 果 选 择 Go Faster, 可 达到 500 个 线程 。 


Number Of Threads 10 Threads Go Faster 


图 11-10 选择 线程 数目 
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值得 注意 的 是 ,虽然 线程 越 高 ,工具 扫描 破解 得 也 越 快 ,但 是 这 很 考验 计算 机 的 性 能 ， 
对 性 能 要 求 较 高 ,如 果 过 多 的 线程 同时 运行 , 极 易 造 成 电脑 死机 ,所 以 需要 根据 计算 机 的 
性 能 合理 选择 线程 数 。 
143 选择 扫描 类 型 


接 下 来 ,需要 选择 扫描 类 型 (如 图 11-11 所 示 ) ,一 个 是 基于 一 些 外 部 文件 进行 的 暴力 
破解 法 (List based brute force) , 另 一 个 是 纯 暴 力 法 破解 (Pure Brute Force) 。 在 图 11-1 
中 可 以 看 到 ,下 载 软件 压缩 包 中 除了 . jar 文件 ,还 有 很 多 . txt 文件 ,这 些 就 是 暴力 破解 所 
依据 的 外 部 文件 。 


图 11-11 选择 扫描 类 型 
1144 选择 外 部 文件 
如 图 11-12 所 示 , 单 击 Browse 按钮 ,出 现 图 11-13 所 示 的 页 面 。 


File with list of dirs/files 


ee [Oan] 


图 11-12 选择 外 部 文件 


Target URL (eg http://example.com:80/) 
'ase Select The Director st You Wish To Use 
Work Method | aiem: [C DiBuster -] ongga 
Number Of Thread (© lib B) directory-list-2.3-small.tt 
B apache-user-enum-1.0.5t E) directory-list-lowercase-2.3-big.bxt. 
Select scanning ty} |E) apache-user-enum-20.b«t E) directory-list-lowercase-2.3-mediur| 
File with list of dird E) DirBusterjar B) directory-list-lowercase-2.3-small.t{ 
E) directory-list-1.0:tt B owaspico 
E) directory-list-2.3-big.t«t E) Uninstall.exe 
directory-list-2.3-medium.bxt 
ES? mmm 
| 


Select starting op 。 文件 名 (N): 


Brute Force Di suem. (suse 习 
[v] Brute Force Flq 

EL 
URL to fuzz - ftest| 
Please complete the test details 


图 11-13 通过 浏览 查找 外 部 文件 
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选择 某 个 . txt 文件 , 单 击 Select List 按钮 即 可 。 
在 主 界面 中 , 单 击 List Info 按钮 , 即 出 现 图 11-14 所 示 的 窗口 。 


@ owasp| ) DirBuster 0.12 Brute Forcing Ust Information 


File Opt [rhe following lists are included with DirBuster: 


Target UR |directory-list-2.3-small.bt (87650 words) 
Directories/files that where found on at least 3 different hosts 


directory-ist-2.3-mediumt (220546 words) 
Work Mel | Directories/files that where found on at least 2 different hosts 


|directory-list-2.3-big.b«t (1273819 words) 
All directories/files that where found 


Selectsca| |directory-list-lowercase-2.3-small.tt (81629 words) 
File with i| |Case insensitive version of directory-list-2.3-small tt 


directory-list-lowercase-2.3-medium.bt (207629 words) 
Case insensitive version of directory-list-2.3-medium.txt 


Char set 
directory-list-lowercase-2.3-big.bt (1185240 words) 
Case insensitive version of directory-list-2.3-big bt 


Select sta 
[Brute |directory-list-L0.-bt (141694 words) 
Original unordered list 


[V] Brute F 
apache-user-enum-1.0.bxt (8916 usernames) 
URL tofu] Used for guessing system users on apache with the userdir module enabled, based on a 
username list 1 had lying around (unordered) 


Please cof [Bi Cose] 
图 11-14 外 部 文件 信息 


图 11-14 是 对 所 有 的 list 进行 解释 ,给 出 了 每 种 list 对 应 的 用 法 ,比如 director-list- 
2. 3-small. txt 可 用 来 猜 解 那些 至 少 在 3 台 主 机 上 发 现 的 文件 或 目录 。 


1.45 其 他 的 设置 


如 果 在 选择 扫描 类 型 时 选择 了 基于 一 些 外 部 文件 进行 的 暴力 破解 法 (List based 
brute force) ,那么 可 以 在 这 里 设置 一 些 额外 信息 ,当然 也 可 以 保持 默认 。 

如 图 11-15 Bros ,左边 两 个 复 选 框 是 选择 暴力 猜 解 目录 还 是 暴力 猜 解 文件 ,或 者 两 者 
都 猜 解 ,或 者 两 者 皆 不 。 之 后 选择 是 否 在 猜 解 中 进行 递归 (默认 选中 ) ,Dir to start with 
中 可 填写 服务 器 上 的 文件 目录 , 即 从 该 文件 夹 开始 猜 解 。 


Select starting options: © Standard start point (C URL Fuzz 
[v] Brute Force Dirs [v] Be Recursive Dir to start with |/ 


[v] Brute Force Files C Use Blank Extention File extention |php 


图 11-15 ”额外 信息 设置 


比如 在 Dir to start with 中 输入 /bank, 那 么 单 击 Start 按钮 之 后 将 显示 猜 解 出 的 目 
录 , 如 图 11-16 所 示 。 

可 以 发 现 , 猜 解 出 的 目录 都 是 /bank 目录 下 的 文件 ,然后 选择 Tree View 选项 卡 按 树 
结构 查看 结果 ,如 图 11-17 所 示 。 
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| OWASP DirBuster 0.12 - Web Application Brute Forcing Fey] 
Fle Options About Help 
http://demo.testfire.net:80/bank/ 
list View | Tree View | 
Type Found Response| — Size Indude Status 

Dir [bank 200 2545 — [v| Waiting ~ 

Error — /bank/-dirk/ 57 B" lOException 

Error —— /bank/-dmitri/ 57 Dn lOException 

Error — /bank/-dionysus/ 57 日 IOException 

Error /bank/~dionisio/ 57  [] IOExcepton 

Error /bank/~dion/ 57 日 JOException 

Dir [bank[20060308 bak/ 403 1393 Œ Waiting 

Dir 1 200 10159 ©] Waiting 

Error /bank/~bonny/ 57  []  lOtxeption 

Fle ^ — /bank/customize.aspx 500 281 D 

Fle /bank/cmdsqlaspx 200 ma B 

File /bank/login.aspx 200 9197 D 

File /default.aspx 200 10159 日 

File ffeedback.aspx 200 9196 口 

Dir /images/ 403 1393 [2] Waiting 

Fle ^ — [bank/mozxpathjs 200 iive O 

[Dir /bank/members/ 401 1456 Vl Waiting J 
Current speed: 657 requests/sec (Select and right cick for more options) 
Average speed: (T) 661, (C) 708 requests/sec 

Parse Queue Sizes 0 Current number of running threads: 200 

Total Requests: 14557/89239 Changa 

Time To Finish: 00:01:45 

4 92 四 Pause. O Stop. Report 
Hi16 ” 猜 解 文件 目录 


9 OWASP DirBuster 0.12 - Web Application Brute Forcing 
Fle Options About Help 


httpy//demo4testfire net80/bank/ 
Ust View ` Tree View | 
Directory Stucture Responce Code Responce Size 

日 名 200 10159 

D default.aspx 200 10159 

D feedbackaspx 200 9196 

© images 403 1393 

D cgiexe 200 111384 

图 11-17 按 树 结构 查看 


1146 工具 开始 运行 


设置 完成 后 ,可 以 单 击 Start 按钮 来 猜 解 ,进入 一 个 新 的 界面 ,如 图 11-18 所 示 , 可 以 
看 到 有 两 种 查看 方式 ,分 别 是 List View (列表 方式 查看 ) 和 Tree View( 树 结构 查看 ) , 然 
后 标明 服务 器 网 址 .总 请 求 数 .已 经 完成 扫描 的 请 求 以 及 预计 完成 的 时 间 , 可 以 看 到 上 面 
显示 的 时 间 是 3 个 多 小 时 。 如 果 用 户 觉得 所 需要 的 时 间 太 长 ,还 可 以 在 右边 文本 框 中 输 


人 线程 数 来 提高 效率 。 


Ve vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


| @ OWASP DirBuster 0.12 - Web Application Brute Forcing Fere] 

File Options About Help 

http://demo.testfire.net80/ 

List View | Tree View | 
Type Found Response| Size Indude Status 

Dir [images/ 403 1393 回 Waiting 

Dir / 200 10157 回 Scanning 

Dir /Pr 200 762 回 Waiting 

Dir [rss] 403 1393 [n] Waiting 

File /pr/Docsxml 200 1026 [m] 

Dir [bani 200 2547 回 Waiting 

File [bank/login.aspx 200 9197 日 

Fle /defaultaspx 200 10159 [m] 

File /prDraftrtf 200 11537 日 

File /feedbackaspx 200 9196 日 

File /pr/communityannualreport.pdf 200 49819 日 

Dir [bank/20060308 bak/ 403 1393 M Waiting 
Current speed: 175 requests/sec (Select and right click for more options) 
Average speed: (T) 147, (C) 147 requests/sec 

Parse Queue Size: 0 Current number of running threads: 50. 
Total Requests: 1478/1700375 Chanod 
Time To Finish: 03:12:37. 
Cora Ce J oe 
Brute forceing dirs in/ /bristol_rovers/ 

图 11-18 开始 运行 


11.5 DirBuster 结果 分 析 


151. 查看 目标 服务 器 目录 信息 (包括 隐藏 文件 及 目录 ) 


当 工 具 猜 解 完 成 后 ,DirBuster 提供 了 两 种 文件 目录 形式 ,方便 用 户 查 看 目标 服务 器 
的 目录 及 文件 信息 ,包括 一 些 隐 藏 目录 文件 。 

(1) List View( 列 表 方式 查看 ) ,如 图 11-19 所 示 。 

(2) Tree View( 树 结构 查看 ) ,如 图 11-20 所 示 。 


1152 在 外 部 浏览 器 中 打开 指定 目录 及 文件 


右 击 列表 中 的 文件 ,在 快捷 菜单 中 选择 Open In Browser( 在 浏览 器 中 打开 ) 菜 单项 ， 
可 以 将 目标 文件 在 外 部 浏览 器 中 打开 ,如 图 11-21 所 示 。 
外 部 浏览 器 即 出 现 , 如 图 11-22 所 示 。 


1153 复制 URL 


右 击 列表 中 的 文件 ,在 快捷 菜单 中 选择 Copy URL 菜单 项 (如 图 11-23 所 示 ), 即 可 复 
制 该 目录 文件 的 URL。 
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Response| Size Indude Status 
1 200 10157 Finished 
i 200 2547 回 Finished 

File Jdefaultaspx 200 ims O 

File /bank/login.aspx 200 a7 O 

Fe /feedbackaspx 200 a% O 

Dir [images/ 403 13933 回 Finished 

Dir /bank/20060308 bak/ 403 1393 — [v] Finished 
file /bank/customize.aspx 500 zi O 

File /cgiexe 200 111384 日 

File /bank/cmdsql.aspx 200 17751 日 

IDir /bank/members/ 401 1456 al Scanning 

Fle /bank/mozxpathjs 200 ive O 

Fle [bank/queryxpath.aspx 500 2: D 

Fle /bank/servererror.aspx 200 xs O 

Current speed: 0 requests/sec. (Select and right dick for more options) 
Average speed: (T) 656, (C) 0 requests/sec 

Parse Queue Size: 0 Current number of running threads: 200 
Total Requests: 89235/89245 [change] 

Time To Finish: ~ 

@ Back Ifl Pause. j O Stop. j Report 

Brute forceing files in /bank/members/ 


图 11-19 列表 方式 查看 目标 服务 器 目录 信息 


D loginaspx 
S-O 20060308 bek 
D customize.aspx 
0 emdsqLaspx 
CJ members. 
D) mozxpathjs 
D queryxpath.aspx 
D servererror.aspx 
D defaultaspx 
~D feedbackaspx 
B-A images 


BBBBBEBBSBEBRSBS 


Current speed: 0 requests/sec. 

Average speed: (T) 594, (C) 0 requests/sec 
Parse Queue Size: 0 

Total Requests: 89235/89245 


Time To Finish: ~ 
É Bock) (M pause |[ Osee 


DirBuster Stopped 


(Select and right dick for more options) 


Current number of running threads: 200 


[eg 


图 11-20 树 结构 查看 目标 服务 器 目录 信息 
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| 


/cgiexe | [3 Copy URL 

/banemd e, sl 

/bank/me P 
od — Ship child directories 


Extentions to scan 


8888828855Bs8838 


Add new extention to scan 


Bem pune ammo [Namme pem OMARE C Demele [iere Q neh F) DE 


Sian an | contact Ue | Eaedhad | soarch [co] 


AltoroMutual Cy | d 


Feedback 


Gor Frequently Asked Questen area wi heip you wrth mary ef your eque 
M you cani find vour question, return to this page and use the e-mai form balow. 


IMPORTANTI This fsadbadk facity is not secure. Please do not send any 
Account iformtion in a message sent from here. 


To. Online Banking 
Your Name: 


ISbmt] cear Fom | 


图 11-22 外 部 浏览 器 出 现 
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/defaultaspx 
Jbank/login.as 


/images/ (Q Open In Browser 1393 
/bank/20060308| 1393 
/bank/customize View Response 281 
friese | 


/bank/cemdsqlas 


CE 

n 17751 
/bank/members| D> Skip 1456 
/bank/mozxp: Ship child directories 1676 
fbank/queryxpat 一 一 一 一 一 一 一 一 一 254 
/bank/severerri Extentions to scan 3655 


DDOOGSDDOCOGISLIOOEI z 


Add new extention to scan 


(Select and right click for more options) 
Average speed: (T) 594, (C) 0 requests/sec 


Parse Queue Size: 0 Currert number of running threads: 200 
Total Requests: 89235/89245 


Time To Finish: ~ 
(ee J[ mo J 


DirBuster Stopped 


图 11-23 复制 URL 


154 查看 更 多 信息 


右 击 列表 中 的 文件 ,在 快捷 菜单 中 选择 View Response( 查 看 结果 ) 菜 单项 ,如 图 11-24 所 
示 , 用 户 即 可 查看 更 多 关于 该 目录 文件 的 信息 ,比如 可 查看 到 服务 器 信息 ,如 图 11-25 所 示 。 


Fle Options About Help 


http://demo.testfire.net:80/ 
List View | Tree View | 


" 

/bank/ 
Jdefaultaspx 
/bank/login.ast 


/images/ Open In Browser Ed 
ferio) Ope E 
fork ctor RE m 
/egiexe — ||; Copy URL E 
/bank/emdsd ^ ^. 17751 
/bank/memb "P Skip. p 
fbank/moz! — Ship child directories 3555 
/bankJque — — — — — — — —| 2 
Jbank/serves i 一 


Add new extention to scan 


DJCOCOIERICIOIEDISIIEIOIOTSIS H 


(Select and right click for more options) 


Average speed: (T) 594, (C) 0 requests/sec 


Parse Queue Size: 0 Currert number of running threads: 200 
Total Requests: 89235/89245 Change 


Time To Finish: ~ 


CIN NETT 


DirBuster Stopped 


图 11-24 查看 更 多 信息 
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Responce for httpV/demotestfire netfeedbackaspx 
Raw Response | Base Case Information \ Raw Response vs Base Case \ Diff Raw vs Base | 


IHTTP/1.1 200 OK 

Cache-Control: no-cache 

Pragma: no-cache 

Content-Length: 8941 

Content-Type: text/html; charset-ufi-8 
Expires: -1 

Server: MicosofHISB0 
X-AspNet-Version: 2.0.50727 
X-Powered-By: ASP.NET 

Date: Fri, 17 Apr 2015 0222:55 GMT 


|«IDOCTYPE html PUBLIC -IW3CIHDTD XHTML 1.0 Transitional EN" "http.Ilwww.w3.org/TRAhtml t/DTD/xhtml| 


‘<html xmins="http/Iwww.w3. org/199gihtmr xmLlang-"en" > 
|«headid-" cl0_di0_head><tile> 

Atoro Mutual: Feedback 
|4itle» «meta http-equiv-"Content-Type" content= texthtmi; charset=iso-8859-1><link href-"style.css" rel="st 
<body sle= -margintop px» 


«div id- "header" style="margin-bottom:5px width: 99967» 
«form id-"rmSearchi method="get" action-"/search aspx> 
«table width="100%" border="0" cellpadding-"0" cellspacing="0"> ~ 


(E cese) 


图 11-25 服务 器 信息 


同样 也 可 以 查看 该 网 页 的 HTML 源 代码 。 
选择 Base Case Information 选项 卡 也 可 以 选择 在 浏览 器 中 查看 ,如 图 11-26 所 示 。 


Responce for http://demo.testfire.net/feedback aspx 
Raw Response ` Base Case Information | Raw Response vs Base Case | Diff Rawvs Base \ 
| 
http //demo testfire net 80/therelsNoWayThat-You-CanBeThere aspx 
HTTP Responce Code For Base Case: 302 


图 11-26 在 浏览 器 中 查看 


1155 猜 解 出 错误 页 面 
在 猜 解 的 过 程 中 ,可 能 发 现 有 一 些 猜 解 出 Error 的 文件 ,如 图 11-27 所 示 。 
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r 3 
Q9 OWASP DirBuster 0.12 - Web Application Brute Forcing EE 

File Optons About Help 

http;//demo.testfire.net80/ 

List View | Tree View | 
Type Found Response| — Se Indude Status 

[Dir " 200 10157 [2] Scanning 

IDir " 200 10157 [2] Scanning 

Error /~garef 57 日 lOException 

Dir /bank/ 200 254] — [V Waiting 

File /defaultasp 200 1305 O 

|Err. [784 57 B" lOExcepti 

Error /~russ/ 57 B IOException 

File /feedbackaspx 200 9196 日 

pir /images/ 403 1393 回 Waiting 

[Dir 403 1393 [2] Waiting 

[Error 57 日 IOException 

|Err 57 Dn IOException 

Erre 57 [m] IOException 

ror — /-shane/ 57  [])  lOException 

Fle /bank/login.aspx 200 as O 

Current speed: 141 requests/sec (Select and right click for more options) 
Average speed: (T) 347, (C) 303 requests/sec 

Parse Queue Size: 0 Current number of running threads: 200 

Total Requests: 6250/71372. duros 

Time To Finish: 00:03:34 

[ $9 |][ mme j( Osep j Report 
Brute forceing dirs in / /~jessikaf 


1127 ARARE 


选择 这 样 的 文件 并 在 浏览 器 中 打开 ,会 提示 页 面 错误 ,如 图 11-28 所 示 , 而 且 基 本 上 
都 是 404 错误 。 需 要 注意 的 是 , 当 网 站 存在 大 量 的 404 错误 时 ,搜索 引擎 就 会 对 网 站 进行 
一 定 的 扣 分 ,从 而 被 搜索 引擎 认为 是 一 个 不 好 的 网 站 。 


^ Tom » [wedsoios PIRE BIBT ERES T e S otra Er a | oaa a | 3E] eo ee «+ ES IS IE 
S S gp 5 [U demo.testfire.net/~gare/ sa eamat aig se 

Bar Rua eue 图 te RREAK iemel mE QbA ES w [Re ESIN I NDRPU Gh AT . 

[gram sa] x 


Server Error 


404 - File or directory not found. 
The resource you are looking for might have been removed, had its name changed, or is temporarily unavallale. 


图 11-28 页面 错误 


当 用 户 访问 这 种 网 站 时 打开 的 都 是 404 页 面 , 也 是 很 不 利于 用 户 体验 的 。 
DirBuster 也 可 以 帮助 开发 者 定位 出 网 站 上 的 一 些 错误 页 面 或 者 一 些 Web 漏洞 , 便 
于 开发 者 进行 网 站 的 改进 和 维护 。 


11.6 本 章 小 结 


在 扫描 结果 中 可 以 发 现 ,DirBuster 在 列 出 目录 之 后 ,对 找到 的 目录 深入 扫描 ,发 现 有 
目录 再 继续 深入 ,能 遍历 到 最 内 部 ,功能 非常 强悍 。 

找 出 隐藏 的 文件 和 目录 ,是 Web 服务 器 上 的 Web 应 用 程序 渗透 测试 中 最 乏味 的 任 
务 。DirBuster 使 得 这 项 任务 变 得 简单 快捷 ,其 易于 使 用 的 图 形 用 户 界面 更 使 得 用 户 查 找 
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任何 服务 器 上 的 敏感 文件 和 目录 变 得 简单 易 懂 , 即 使 Web 服务 器 的 业主 也 可 以 很 容易 地 
使 用 这 个 工具 。 

操作 简单 是 DirBuster 的 优点 之 一 , 它 还 有 一 个 优点 就 是 可 以 层 层 深入 破解 没有 访 
问 过 的 目录 和 文件 , 连 管理 员 后 台 的 界面 路 径 也 能 破解 。 如 果 找 到 管理 员 后 台 的 界面 路 
径 , 攻 击 者 就 可 以 想 办 法 以 管理 员 身 份 进入 网 站 后 台 ,这 样 攻击 者 就 能 更 轻松 地 得 到 其 想 
得 到 的 信息 ,这 是 非常 危险 的 。 

一 般 情况 下 , 像 /admin 和 /manager 这 样 的 目录 是 攻击 者 最 喜欢 的 ,如 果 攻 击 者 使 用 
DirBuster 找到 这 两 个 目录 ,那么 这 个 网 站 的 所 有 信息 一 般 就 会 暴露 出 来 。 

Web 安全 扫描 工具 都 存在 两 面 性 。 网 站 攻击 者 利用 这 些 工 具 能 够 找到 有 利于 攻击 
网 站 的 信息 ;而 Web 开发 和 测试 人 员 则 需要 利用 这 些 工 具 发 现 网 站 存在 的 漏洞 ,尽早 修 
补 ,才能 防止 被 恶意 攻击 。 


1. 简 述 DirBuster 的 攻击 原理 。 
2. 简 述 防止 DirBuster 破解 的 方法 。 


Web 应 用 程序 攻击 与 审计 框架 waa 


12.1 w3af 简介 


w3af 是 一 个 Web 应 用 安全 的 攻击 、 审 计 平台 ,通过 增加 插件 来 对 功能 进行 扩展 , 它 
是 一 款 用 Python 编写 的 工具 ,支持 图 形 用 户 界面 ,也 支持 命令 行 模式 。 目 前 已 经 集成 了 
非常 多 的 安全 审计 及 攻击 插件 ,并 进行 了 分 类 ,新手 们 在 使 用 的 时 候 可 以 直接 选择 已 经 分 
类 好 的 插件 ,只 需要 填写 URL 地 址 就 可 以 对 目标 站 点 进行 安全 审计 了 ,是 一 款 非常 好 使 
用 的 工具 ,并 且 集 成 了 一 些 好 用 的 小 工具 ,如 自 定义 request 功能 .Fuzzyrequest 功能 、 代 
理 功 能 、 加 解密 功能 ,支持 非常 多 的 加 解密 算法 ,我 们 完全 可 以 使 用 waf 就 完成 对 一 个 网 
址 的 安全 审计 工作 。 


1211 wa 的 特点 


w3af(Web Application Attack and Audit Framework, Web 应 用 程序 攻击 和 审计 框 
架 ) 的 目标 是 创建 一 个 易于 使 用 和 扩展 、 能 够 发 现 和 利用 Web 应 用 程序 漏洞 的 主体 框架 。 
w3af 的 核心 代码 和 插件 完全 由 Python 编写 ,目前 已 有 超过 130 个 插件 ,这 些 插件 可 以 检 
W SQL 注入 , 跨 站 脚本 、 本 地 和 远程 文件 包含 等 漏洞 。 

目前 w3af 已 经 更 新 至 1.1 版 ,新 版 框架 更 好 、 更 健壮 、 更 快速 。 它 包含 了 新 的 漏洞 检 
测 ,性 能 提升 了 约 15%。 


1212 wd SE 


w3af 依赖 的 库 主要 有 两 类 。 

A) 核心 需求 (Core requirements) ,包括 : 

Python 2. 6, 

Ípconst-0. 7. 2: 用 于 处 理 IEEE 754 浮 点 数 。 

nltk: 自然 语言 处 理工 具 包 。 

SOAPpy: SOAP 是 简单 对 象 访问 协议 ,是 一 种 交换 数据 的 协议 规范 ,基于 XML. 
pyPdf: 处 理 PDF 文档 ,提取 信息 ,分割 / 合 并 页 面 等 。 
Python bindings for the libxml2 。 

library: libxml2 Æ C 语言 库 , 这 里 是 一 个 Python 中 间 件 。 
Python OpenSSL: 实现 SSL 与 TLS 的 套件 和 HTTPS。 
json. py: json 是 一 种 轻 量 级 的 数据 交换 格式 。 
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scapy: 用 来 发 送 、 嗅 探 、 解 析 和 伪造 网 络 数 据 包 。 

pysvn; 支持 subversion 操作 。 

python sqlite3: 精简 的 嵌入 式 开源 数据 库 ,使 用 一 个 文件 存储 整个 数据 库 。 
没有 独立 的 维护 进程 ,全 部 由 应 用 程序 进行 维护 ,使 用 特别 方便 。 

yappi: 支持 配置 每 个 线程 的 CPU 时 间 (https://code. google. com/p/yappi/) . 
(2) 图 形 用 户 界面 需求 (Graphical user interface requirements) ,包括 : 

。 graphviz: 可 视 化 图 表 graph。 

。 pygtk 2.0: 生成 GUI。 

* gtk 2.12: 跨 平 台 的 图 形 工具 包 。 


1213 Ww 的 架构 


w3af 的 架构 主要 分 3 部 分 : 

COD. 内 核 : 协调 整个 过 程 的 核心 ,并 提供 库 使 用 的 插件 。 

(2) UI(console 和 GUD) : 允许 用 户 配 置 和 启动 扫描 的 用 户 界面 。 
CD 插件 : 用 于 发 现 链接 和 漏洞 。 


1214 ws 的 功能 


w3af 的 功能 包括 : 支持 代理 ,代理 身份 验证 ,网 站 身份 验证 ,超时 处 理 ,伪造 用 户 代 
理 ,新 增 自 定义 标题 的 请 求 ,Cookie 处 理 , 本 地 缓存 GET 和 头 部 ,本 地 DNS 缓存 ,保持 和 
支持 HTTP 和 HTTPS 连接 ,使 用 多 POS 请 求 文 件 上 传 ,支持 SSL 证 书 。 


1215 wa 的 工作 过 程 


w3af 的 工作 过 程 如 下 : 

COD 调用 crawl plugins( 如 web spider) 寻 找 所 有 的 链接 .表单 .查询 串 和 参数 。 通 过 
这 一 步骤 ,将 创建 一 个 form 和 Links 映射 。 

(2) 调用 audit plugins( 比 如 sqli) 发 送 畸 形 数据 ,以 尽 可 能 地 触发 漏洞 。 

(3) 通过 output plugins 将 发 现 的 漏洞 ,调试 和 错误 信息 反馈 给 用 户 。 


12.2 waaf 的 安装 


1221 在 Wndows 系 统 下 安装 


以 下 为 在 Windows 系统 下 安装 w3af 的 步骤 : 

OO 下 载 地 址 为 http://sourceforge. net/projects/w3af/files/w3af/。 如 果 要 将 
w3af 安装 在 Windows 系统 中 ,可 以 直接 下 载 w3af_1. 0_stable_setup. exe, 下 载 后 直接 双 
击 exe 文 件 就 可 以 了 。 

(2) 选择 安装 版 本 ,如 图 12-1 所 示 。Windows 操作 系统 版 本 选择 如 图 12-2 所 示 。 

(3) 双击 w3af_1. 0_stable_setup. exe 文件 , 按 安 装 向 导 提 示 安 装 w3af。 
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Downloads / Week 


Name * Nodified* Size* 


4 Parent folder 


mp v3af 1.1 2011-11-10 256 

25 69 
m 3af 1.0-rc6 2011-02-24 4 
Me v3af 1.0-rc5 2011-01-18 1 
Be v3af 1.0-rc4 2010-11-02 2 
mE v3af 1.0-rc3 [moyogui] 2010-03-31 3 
ia v3af 1.0-rc2 [shorty] 2009-04-26 6 
Mc v3af 1.0-rcl [bonsai] 2009-02-27 1 
M v3af betaT [omi] 2008-10-20 1 


图 12-1 选择 w3af 安装 版 本 


Hane Nodified Size Downloads / Feek 
4 Parent folder 


w3af-1. 0-stable.tar.bz2 2011-05-25 39.9 WB 2 


w3af_1.0_stable_setup. exe 2011-05-24 60.7 NB 


Totals: 2 Iteas 


图 12-2 Windows 操作 系统 安装 版 本 下 载 


首先 出 现 安装 欢迎 界面 , 单 击 Next 按钮 ,如 图 12-3 所 示 。 


Welcome to the w3af Setup Wizard 


This wizard wil guide you through the instalation of w3af. 


Itis recommended that you dose all other applications. 
before starting Setup. This wil make it possible to update 
relevant system fies without having to reboot your 
computer. 


Click Next to continue. 


A 12-3 安装 waf 


安装 之 前 阅读 协议 , 单 击 T Agree 按钮 ,如 图 12-4 所 示 。 
安装 路 径 选 择 ,可 以 默认 安装 路 径 , 也 可 以 单 击 Browse 按钮 自 定义 安装 路 径 ,如 
图 12-5 Brom. 
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License Agreement 
Please review the license terms before instaling w3af. 


Press Page Down to see the rest of the agreement. 
| 


Version 2, June 1991 (3 
Copright (©) 19 1989, 1991 Free Software Foundation, Inc. 
59 Temple Place, Suite 330, Boston, MA 02111-1307 USA 
Everyone is permitted to copy and distribute verbatim copies 
of this license document, but changing it is not alowed. 
Preamble 
The licenses for most software are designed to take away your — - 


Er Ee mao fe sperme AET getto conii: You must accept the 
agreement to install w3af. 


w3af - Andr] Riancho | Installer - Ulises Cul, Javier Andalia 


图 12-4 同意 服务 协议 


Choose Install Location 
Choose the folder in which to install w3af. 


RUM on Reto RS To install in a different folder, dick Browse and 
ther folder, Click Next to continue. 


Destination Folder. 


E:\w3af 


Space required: 240. 2M8 
Space available: 147.168 


w3af - Andr Riancho | Installer - Ulises Cub, Javier Andalia 


[<e | Neto. 


图 12-5 选择 安装 路 径 


开始 安装 ,如 图 12-6 所 示 。 
安装 完成 ,如 图 12-7 所 示 。 
单 击 Finish 按钮 以 完成 安装 ,如 图 12-8 所 示 。 


1222 工作 界面 


安装 完成 后 ,电脑 桌面 会 有 w3af Console 和 w3af GUI 两 个 图 标 , 如 果 双 击 w3af 
Console 图 标 , 将 出 现 cmd 操作 界面 ,如 图 12-9 所 示 。 

可 以 使 用 命令 设置 w3af 需要 进行 的 安全 扫描 ,通过 help 命令 查看 各 部 件 功 能 ,如 
图 12-10 所 示 。 
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installing 
Please wait whie w3af is being installed. 


Output folder: E:lw3af3aflcoreVilconsoleUisinlimp 
[= 


waf - AndrB Riancho } 


图 12-6 开始 安装 


W3af - AndrB Riancho | Installer - Ulises Cub, Javier Andalia 


m zz 


图 12-7 安装 完成 


Completing the w3af Setup Wizard 


w3af has been installed on your computer. 
Cik Finish to dose this wizard. 


[V] Run w3af GUI 


[F] Show User Guide 


Visit the w3af site for the latest news, FAQs and support. 


ce fom] Com) 


图 12-8 运行 w3af GUI 


a» 


Vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


ii w3af Console 的 Lei 


图 12-9 w3af Console 操作 界面 


iili w3af Console. [m7] 


图 12-10 通过 help 命令 查看 功能 


这 是 w3af 使 用 cmd 命令 操作 的 方式 ,初学 者 可 以 通过 这 样 的 方式 更 深入 地 理解 
w3af 各 插件 的 功能 。w3af 还 有 一 个 更 方便 .更 直观 的 操作 方式 ,就 是 GUI 操作 ,双击 
w3af GUI 图 标 ,就 会 出 现 GUI 图 形 操作 界面 ,启动 画面 如 图 12-11 所 示 , 操 作 界 面 如 
图 12-12 所 示 。 

和 Nmap 等 安全 扫描 工具 类 似 , waf 在 图 形 界面 中 选择 各 个 插件 ,相当 于 在 w3af 
Console 中 输入 各 条 扫描 命令 , 且 w3af GUI 打开 的 是 两 个 界面 ,扫描 过 程 可 以 通过 w3af 
GUI 里 面 的 Log 查看 扫描 日 志 , 也 可 以 通过 w3af Console 界面 查看 更 详细 的 扫描 过 程 。 


1223 在 Linx 下 安装 


在 12.2. 1 节 的 下 载 地 址 中 选择 下 载 w3af-1. 0-stable. tar. bz2, 下 载 后 解压 安装 文件 
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Iii CWindows\system3Aemdexe 


Building the main screen... 


12-11. w3af GUI 操作 界面 启动 


AE waf- Web Application Attack ard 
Toos Cowguaten Hep 


Maru Reque Fuzzy Request Encnde/Decoóe 


LESSE 


This is n empty profiie that you cen use 
o tart a naw configuration from. 


A 12-12 w3af 图 形 操作 界面 


w3af-1. 0-stable. tar. bz2 ,指令 是 tar -jxvf w3af-1. 0-stable. tar. bz2 ,再 部 署 Python 2. 6 


环境 (如 果 已 是 这 个 版 本 ,可 以 跳 过 这 一 步 ) , 接 下 来 的 步骤 这 里 就 不 一 一 详 述 了 。 
12.3 w3af 图 形 界面 介绍 


首先 认识 w3af 的 整个 界面 布局 ,打开 w3at-GUI 之 后 ,可 以 看 到 图 12-13 所 示 的 


界面 。 
w3af 的 整个 界面 布局 可 分 为 菜单 栏 .工具 栏 .扫描 文件 选择 栏 ,扫描 插件 选择 栏 以 及 
结果 输出 保存 和 查看 部 分 。 


其 中 ,菜单 工具 栏 主要 用 于 扫描 文件 的 基本 配置 ,例如 HTTP Header 设置 .登录 页 
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菜单 栏 
工具 栏 


The Open Web Application Security Project (OWASP) is a 
扫描 插件 worldwide free and open community focused on 
cce E i Improving the securty sario siu O^ OWASP 
选择 栏 $ Í searched for and published the 
| ur CE pec 
fiaws. For more information about the security flaws: 
http:/ /Vww.owasp.org/index. php/ 
OWASP_Top_Ten_Project . 


结果 输出 保存 
和 查看 部 分 


12-13. w3af 界面 布局 


面 用 户 名 与 密码 设置 等 。 扫 描 文 件 选择 栏 可 选择 已 有 扫描 内 容 , 插 件 已 配置 好 ,用 户 也 可 
根据 自己 的 需要 配置 扫描 文件 保存 在 此 ,使 用 时 直接 在 此 选择 即 可 。 插 件 选择 与 扫描 文 
件 选 择 相似 ,用 户 可 根据 自己 的 需求 选择 扫描 插件 。 

单 击 Log 选项 卡 可 查看 扫描 日 志 , 单 击 Results 选项 卡 可 查看 扫描 结果 ,下 部 的 
output 用 于 保存 扫描 结果 。 此 工具 的 使 用 结合 实际 操作 例子 更 容易 深入 了 解 。 

最 左边 的 Profiles 是 已 经 定义 好 的 一 些 插件 ,并 根据 不 同 的 类 型 进行 了 分 类 ,如 
图 12-14 所 示 。 

中 间 的 Plugin 是 所 有 可 用 的 插件 ,允许 用 户 自己 定义 要 检查 的 内 容 , 并 且 这 些 插件 
都 有 可 编写 的 文件 ,喜欢 研究 Python 语言 的 人 ,还 可 以 自行 修改 各 插件 内 容 。 并 且 , 鼠 
标 单 击 每 个 插件 ,右边 都 会 对 该 插件 进行 说 明 , 便 于 用 户 理解 每 个 插件 的 含义 ,如 
图 12-15 所 示 。 


OWASP_TOP10 


audit high risk Plugin Active 
b adit — [] 
b. bruteforce O 
b discovery O 
full audit manual disc b evasion O 
sitemap b grep 口 
web infrastructure b mange O 
图 12-14 Profiles 列表 图 12-15 Plugin 列表 


中 间 偏 下 的 output 指 的 是 结果 的 保存 方式 ,如 图 12-16 所 示 。 
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[This plugin writes the framework messages to an HTML report 


miaa 


[Two configurable parameters exist: 
- fileName 
j -verbose 


af you want to write every HTTP request/response to a text file,| 
textFile plugin. 


Plugin s 


[P console fileName 
2 smit Dn verbose | | 
Save configuration | Revert to previous values 


12-16 结果 保存 格式 


Target 是 要 进行 评估 的 目标 URL, 如 图 12-17 Bras 。 


Target: |Insert the target URL here 


图 12-17 目标 URL 


在 最 上 面 的 菜单 栏 中 ,Tools 是 一 些小 工具 ,Edit 用 于 编写 插件 文件 ,Configuration 
是 一 些 扫描 时 的 配置 等 。 中 间 的 常用 工具 栏 是 把 一 些 常用 工具 及 选项 用 图 标 列 出 来 了 ， 
如 第 一 个 图 标 是 以 向 导 的 方式 引导 用 户 填写 一 个 评估 的 profile, 并 开始 一 个 评估 任务 ,最 
右边 的 几 个 图 标 都 是 Tools 里 的 Request 工具 ,如 图 12-18 所 示 。 


SIDE» uj d|a f 4 & aa 


Wizards | New Seve Sat Passe lle Epot | Manual Request Fuzzy Request Encode/Decode Export Request Compare Proxy 


A 12-18 菜单 栏 和 常用 工具 栏 
w3af 工具 使 用 简单 ,界面 布局 简洁 ,功能 却 非常 强大 ,所 有 的 配置 都 可 以 在 w3af 
Console 界面 中 用 命令 操作 ,效果 是 一 样 的 。 


12.4 扫描 流程 


熟悉 了 w3af GUI 操作 界面 以 后 ,下 面 使 用 w3af 进行 一 次 扫描 测试 ,以 帮助 初学 者 
更 深入 地 理解 。 
1241 wed GU 选择 插件 扫描 


w3af GUI 选择 插件 扫描 的 步骤 如 下 。 
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COD 填写 目标 URL ,指定 安全 审核 内 容 。 在 Target 里 填写 要 进行 安全 审计 的 目标 
URL, 注 意 URL 必须 加 上 http 或 者 https 标记 ,如 填写 http://demo. testfire. net/ ,然后 
选择 需要 进行 安全 审核 的 内 容 , 这 里 选择 大 家 最 熟悉 的 OWASP_TOP10, 告 诉 w3af 主要 
检查 OWASP 评 出 的 10 大 安全 问题 ,如 图 12-19 所 示 。 


Profiles Edt view Tools Configuraton Help 
| D W Es 5 u € | B 加 4. 
Wizards | New Sae Pause | Multipe Exploit | Manual Request Fuzzy Reques Encode/Decode 

| Scan cong | see TEn 

Profiles Target: [htpy/demo.testire.net Dstt) 3 
empty profile B : 

rm 

mdi ot rk b. briteforce O 

bruteforce b asser iB 

fast scan ， ww D 

full audit 

rp B 
fulL audit manual disc ; m" n 
sitemap ge The Open Web Application Security Project (OWASP) is a 
worldwide free and open community focused on 


web infrastructure improving the security of application. piece OWASP 


$ searched for and published the ten most com: 

4 — security flaws. This profile search for this eT 10 aor 
flaws. For more information about the security 
hitp:[ www. owasp.org/indec.php/ 
OWASP Top Ten Projed. 


Pugn — [Ae 
D output 日 


00 Ao 0 


Æ 12-19 OWASP_TOP10 扫描 


(2) 指定 扫描 结果 的 保存 方式 。 第 (1) 步 中 指定 了 目标 URL, 并 且 指定 了 要 使 用 的 
安全 插件 ,下 面 需 要 指定 扫描 结果 的 保存 位 置 格 式 等 ,如 图 12-20 所 示 。 


i filename W3AF. GUl html 
[P emailReport O [verbose [z] 


aa 


EE htmlfie | save configuration | Revert to previous values 


国 textFile : 


图 12-20 指定 结果 保存 格式 


单 击 output 打开 选项 ,可 以 看 到 有 很 多 的 保存 格式 ,这 里 选择 htmlFile, 然 后 在 右边 
的 fileName 处 填写 保存 的 文件 名 , 勾 选 verbose 复 选 框 ,代表 使 用 详细 输出 ,默认 输出 文 
件 保存 在 当前 目录 下 。 

(3) 设置 扫描 时 需要 的 其 他 选项 。 如 果 要 扫描 的 Web 站 点 有 登录 网 页 ,可 以 设置 登 
录 信息 。 可 以 从 菜单 栏 选择 Configuration HTTP Config 命令 ,会 弹出 图 12-21 所 示 的 
小 窗口 。 

填写 目标 网 站 的 认证 信息 ,这 里 填写 的 登录 页 面 的 登录 账号 和 密码 有 利于 执行 SQL 
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V) Configure HTTP settings 人 m 


General Basic HTTP Authentication | NTLM Authentication | Cookies | Outgoing proxy | misc | 404 settings 
basicAuthUser admin 
basicAuthPass 123 


| basicAuthDomain [estire.ney/ban/login.aspx ei 


Save configuration. Revert to previous configuration X cose 
二 一 一 


图 12-21 HTTP Config 设置 


注入 扫描 。 此 外 还 有 很 多 设置 项 ,设置 完成 后 单 击 Start 按钮 开启 扫描 ,当然 ,很 多 时 候 
可 能 不 需要 填写 认证 信息 。 


1242 wed QU 使 用 向 导 扫描 


使 用 向 导 扫描 与 选择 插件 扫描 的 方式 差不多 ,扫描 结果 肯定 是 一 样 的 ,这 里 只 介绍 扫 
描 前 的 步骤 。 
(1) 选择 扫描 方式 ,如 图 12-22 所 示 。 


EET 


Profiles Target: [Insert the target URL here. D Stat XJ 
Plugin Active a 


OWASP_TOP10 


ia n ik b adt o 
ne ign P. bruteforce C] 
ruteforce b o 

|| fast_scan min 
b eason O 


full audit 

|| full audit manual, disc 
|| stemap 

| web infrastructure 


gep O 
b mange O 


This is an empty profile that you can use 
to start a new configuration from. 


图 12-22 选择 向 导 扫描 


可 以 在 菜单 栏 选择 Help 一 Wizards 命令 ,也 可 以 在 工具 栏 直接 选择 向 导 扫 描 的 图 
标 , 在 弹出 的 对 话 框 中 进行 向 导 扫 描 的 设置 。 

(2) 设置 向 导 扫 描 , 如 图 12-23 所 示 。 

首先 确定 目标 URL, 如 图 12-24 所 示 。 
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[XD wasf-WebAppliction Attack and Audit Framework Bi SR RR =a] æ] 
Prlies EM Yew Tods "Onfgusin Hep E E P J | 
ST 

Wizards | New Save Stat Pause | Multiple E Manual Request Fuzzy Request Encode/Decode 
pemtwexidexe 人 eon 
Select the wizard to run: i| 


© infrastruaure wizard! This wizard creates a scan profile that aims to identify the Web infrastructure 
O Short wizard of the target site. 


w3af rnte wd 


Profiles Edit view Tools Configuration Help 
jD Bjo g D 4 


Wizards | New ^ t : ^ t | Manual Request Fuzzy Request Encode/Decode 
— 


les Target: [Insert the target URL here = set| $$ 
L 


empty_profile — i 

OWASP-TOPIO D w3af Wizard: Infrastructure wizard — 8 leo EE 
audit; high risk 
bruteforce. 
fast scan 

full, audit In this step you should specify the URL of the target web| 
full audit manual disc application. Remember that you can separate different 


sitemap. URLs with commas like this: 
web, infrastructure ~ http://host.tid/a.php , http://host.tid/b.php 


targét |http://demo.testfire.net 


Target URL 


t you can use. 
from. 


09 Ao £o / 


图 12-24 设置 目标 URL 


接 下 来 选择 各 
图 12-25 所 示 。 
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种 插件 ,包括 对 Web 应 用 程序 和 Web Server 等 进行 扫描 的 插件 ,如 


M) waaf - Web Application Attack and Audit Framework 


OWASP_TOP10 
audit high risk 
bruteforce 
fast_scan 

full audit 

full audit manu. 
sitemap 


Profiles Edit View Tools Configuraton Help 

| DOD BH e e tg 四 g . 
Wizards | New Swe | siart æ Elot | Manual Request Fuzzy Reques Encode/Decode 
Sen cont s peee es] 

Profiles Target: [Insert the target URL here strt| $6 


web, infrastructure. 


1 1 
AD w3af Wizard: Infrastructure wizard 二 二 


[EI 


Plugin selection. 


This step allows you to select from a group of plugins 
that identify network and HTTP appliances that may 
be between w3af and the target Web Application. 


í O 


al. disc 


|o use 


Detect actve flters (IPS, WAF, Layer 7 firewalls) 
Detect (reverse) proxies 

Fingerprint Web Application Firewalls 

Mentfy HTTP load balancers 


Next | 


图 12-25 插件 选择 


设置 好 以 后 ,保存 配置 文件 ,如 图 12-26 所 示 。 


A) waaf - Web Application Attack and Audit Framework 
hac i. 1 x" 


| Profiles Edt view Tools Configuraton Help 

^ E y 

| DOD B Jeu e 国 al 8. 
Wizards | New — Save tart x Manual Request Fuzzy Request Encode/Decode 
Scan conto [s | esa E) 
Profiles Target: [Insert the target URL here e * 
empty_profile x T a 1 
OWASP. TOP10 V) w3af Wizard: Infrastructure wizard. i " [r7] 
audit high risk SR 
bruteforce 
fast_scan 
full. audit There are nc more questions, you correctly created a new 


full audit manual, disc. 


l 
emp Please provide a name and a description for the new profile: 
web frastrucure 
| use. 
Name test 
Description test 


KO 


configuration for w3af 


Back 


图 12-26 保存 扫描 配置 文件 
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配置 文件 保存 好 以 后 ,在 Profiles 列表 处 展现 ,选中 文件 名 , 单 击 Start 按钮 就 可 以 进 
行 扫描 了 ,如 图 12-27 所 示 。 


Scan con | s | se [een] 
Profiles | Target: [http://demo.testfre.net D start| $6 
empty. profile 站 
区 [Active 
OWASP. TOP10 os cool ERE 
audit, high risk 
bruteforce 
fast, scan 
full audit 
full audit manual disc 


[一 一 oa 
图 12-27 用 向 导 扫描 文件 进行 扫描 


(3) 扫描 。 扫 描 文 件 保存 好 以 后 ,再 次 启动 w3af GUI, 该 向 导 文 件 依然 存在 于 
Profiles 列表 中 , 接 下 来 的 操作 就 和 选择 插件 扫描 方式 是 一 样 的 了 。 


1243 wa Oonsde 命 令 扫 描 


虽然 w3af GUI 扫描 工具 方便 用 户 使 用 ,但 是 多 使 用 操作 命令 更 有 利于 对 waf 工具 
的 深入 理解 。 

同 前 两 种 方法 一 样 ,用 户 在 扫描 前 都 需要 进行 插件 扫描 ,这 里 只 是 将 操作 鼠标 的 简单 
方式 换 成 了 使 用 操作 命令 选择 插件 ,如 图 12-28 所 示 。 

在 w3af 命令 提示 符 后 输入 plugins 命令 进入 插件 模块 ,然后 输入 discovery 列 出 
discovery 的 所 有 插件 ,这 和 GUI 的 discovery 的 每 个 选项 都 一 样 ,不 同 的 是 ,这 里 每 个 插 
件 都 有 功能 描述 ,这 样 更 能 让 使 用 者 清楚 自己 所 选用 插件 的 功能 ,如 图 12-29 所 示 。 

在 w3af/plugins > > > (p 4 H 73 4f Ja 58 A discovery findBackdoor phpinfo 
webSpider 命令 启用 discovery 下 的 这 3 个 插件 。 在 w3af/plugins> >> fb 4 S iJa t 
入 list audit 命令 列 出 audit 下 的 所 有 插件 ,选择 方法 同 discovery 的 选择 方法 一 样 。 

所 需要 的 插件 选择 完 以 后 ,使 用 back 命令 回 到 主 模 块 ,再 在 w3af 之 之 之 命令 提示 符 
后 输入 target 命令 进入 目标 URL 设置 模块 ,设置 完成 返回 到 主 模块 ,如 图 12-30 所 示 。 

在 w3af 之 之 > 命令 提示 符 后 输入 start 命令 开始 扫描 ,如 图 12-31 所 示 。 
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zum 


Jaf/plugins?)? list disc 
Plugin nane 1 ript ion 


afd Find out if the 
IPS or WA 

allovedMethod: Enumerate the alloved nethod 
an URL 

archivelotOrg earch archive.org to find ne 


pages in the tar ite 


hing_spider Search Bing to get a list of nev | 


JRL 
content. negotiation jse content negotiation to find 
tReverseProxy Find out if the renote veb 

erver has a reverse proxy 
detectTransparentProxy | Find out if your ISP has a 
transparent proxy installed 


digitSun Take an URL vith a nunber < 


] index2.asp ) and try to find 
related files indexi.asp, 
index3 .asp》 
dir bruter Finds Web ser 
bruteforcing 
dnsWildcard Pind out if ww.site.com am 
ite.con return the sane page 
donain_dot end a specially crafted reque 
sith a dot after the domain 
Chttp://host .tld./) and analyze 
respon 
dotNetError quest specially crafted URL 
that generate ASP.NE 
order to gather information 
favicon_identif ication Identify server software u: 
Favicon 
f'indBackdoc Pind veb backdoors and web 
he 
findCapteha Identify captcha inages on veb 
page 
findDuCS Pind GIT, Mercurial (HG), and 
Bazaar (BZR) repositorie 


图 12-28 插件 列表 


Jaf/plugins?)? discovery findBackdcor phpinfo webspid 
lu3af /plugin list audit 


Plugin nane Status ! Conf ! Description 


LDAPi Find LDAP injection bug 
blindSqli e Find blind SQL injection 
alnerabilitie 
huf fOverf lov Pind buffer overflow vulnerabilitie 
m Verify if the WebDAU nodule i: 
properly conf igured 
e Find insecure eval() usa 
S s ! Uploads a file and then searches for 
the file inside all known directorie 
formatString Find Format string vulnerabilities 
frontpage Tries to upload a File using frontpage 
extensions Cauthor.d11) 
generi, Find all kind of hugs without using a 
Fixed database of error 
globalRedirect Pind scripts that redirect the brovser 
htaccessfethod Find misconfigurations in the 
LIMIT?" configuration of Apache. 
ocalPileInclude Find local file inclusion 
vulnerabilitie 
nxInjection Find MX injection vulnerabilities. 
osConmanding Find 0S Conmanding vulnerabilitie: 
phishingUector Find phishing vector 
preg. replace Find unsafe usage of PHPs 
prog. replace 
redo: Find ReDoS vulnerabilitie. 
renoteFileInclude Find renote file inclusion 
unerabilitie 


Find response splitting 
vulnerabilitie 
Find SQL injection bugs 


Find server side inclusion 
m ilit 

Check the validity 
https is being u 

Find out if secure conten 

fetched using http 


图 12-29 选择 插件 
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在 w3a 


w3af Conso 


Ig w3af Console 


obalRedirect 


Method: 


nxInjection 

osConnanding 

phishingUe. 
g_repla 


T 
renoteFileInclud 


responseSplitting ! 


li 


lCertificate 


af /plugin 
af /plugin 


EI cli 


! Find 
! Find remote file 


! vulnerabilitie 


l if https i 
! Find out if 


! Find ( 
! vulnerabilitie 


et target http 


tpag ns 

all kind of bug 
fixed database of er 
Find 


browser to any site 


cripts that redirect the 


Find nisconfigurations in the 
KLIMIT?" configuration of Apache. 


ion 


on vulnerabilitie 
Commanding vulnerabilities. 

Find phishing vector: 

Find age of PHP: 

pn 


unsafe 


inclusion 
Find response splitting 
vulnerabilitie 

Find SQL injection bugs. 
Find server side inclusion 
vuln 
Check the SS 


abilitie: 
certificate validity 

being used ) 

secure content can also 

be fetched using http. 

Find XPATH i 

Find the easie 


ection vulnerabilities. 


t to exploit xsrf 

lnerabilitie 
Find c ite scripting 
vulnerabilitie 


deno .testf ire.net 


图 12-30 


设置 目标 URL 


画 w3af Console 


plugins 
/plugins>>) audit 
plugins)>>) back 
target 
config:target 


onfig:target 


and 2 dif 
e list of URLs i 


et target http: 


? back 


ferent points of 


deno -te | 


injection. 


http: 
http: 


The 1i 


/demo .te 


/demo .te 


由 ntc»: 


stf im 

stf im 

ble reque 
tf 


http: Method: GET ! P 


Cross Site Scripting was found a 
HTIP method GET. The 
This bility affects 


huest with id 19. 


ent data wa: 


uulner ALL bro 


Scan finished in 6 seconds. 
v3af >> 


Paraneters: (txtSearch=""| 


图 12-31 扫描 结果 


GUI 扫描 结果 中 ,已 经 知道 此 站 点 有 XS 


e 的 扫描 结果 ,只 进行 X 


S 攻击 ,这 里 为 了 更 简单 地 看 到 


S 扫描 ,扫描 的 结果 与 前 面 的 结果 一 样 ,而 且 速 度 非 
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常 快 ,只 用 了 6 秒 。 


经 过 多 次 研究 ,w3af 发 起 攻击 的 请 求 方式 不 是 固定 的 ,多 使 用 w3af 发 起 几 次 攻击 ， 
对 KSS 的 攻击 语言 就 基本 都 能 掌握 了 。 当 然 ,需要 提醒 读者 注意 的 是 ,攻击 的 站 点 必须 
是 允许 进行 攻防 实验 的 站 点 或 者 自己 开发 的 站 点 。 


1244 wH GU 查看 日 志 分 析 结 


按照 前 面 的 步骤 设置 好 一 个 基本 的 安全 审计 任务 , 单 击 Start 按钮 开始 执行 扫描 任 
务 , 在 任务 进行 的 时 候 ,可 以 在 扫描 日 志 中 查看 扫描 进度 和 扫描 结果 ,如 图 12-32 所 示 E 
存在 攻击 ,在 扫描 日 志 中 会 以 红色 标记 ,如 图 中 框 线 中 的 内 容 所 示 。 


| cookie. 
fosjo1/15 19:12: aa] Tie following scripts are vulnerable to a trivial form of XSRF: 


(05/31/15 19:12:32] - http://demo.testfire.net/search.aspx 
Ds is 19:12:42] Theu URL Ms demot — aaora a is rrr i cross site t request forgery, 


perm 19:12:42] The URL: "http://demo.t nire et sent the cookie: "amSessionid- 2185988078; path=/". This information was 
found in the request with id 1. 


This information was found in the request with id 106. 
[05/31/15 19:13:33] Cross Site Scripting was found at: "http://demo.testfire.net/search.aspx", using HTTP method GET, The sent 
data was: "b«tSearch- «SCrTPT »alert("8262")«/SCrIPT»". This vulnerability affects ALL browsers. This vulnerability was found in the 
request with id 130. 

g EE 


Que A2 $0 A 


图 12-32 ”查看 扫描 日 志 


从 扫描 日 志 中 可 以 看 出 ,此 网 站 存在 XSRF 和 XSS 攻击 ,通过 前 面 的 学 习 , 相 信 读 者 
对 XSS 攻击 并 不 陌生 。 

XSS 表示 Cross Site Scripting( 跨 站 脚本 ), 它 与 SQL 注入 攻击 类 似 ,SQL 注入 攻击 
中 以 SQL 语句 作为 用 户 输入 ,从 而 达到 查询 修改、 删除 数据 的 目的 ,而 在 XSS 攻击 中 ， 
通过 插入 恶意 脚本 实现 对 用 户 浏 览 器 的 控制 。 当 应 用 程序 收 到 不 可 信 的 数据 ,在 没有 进 
行 适当 的 验证 和 转 义 的 情况 下 ,就 将 它 发 送 给 一 个 网 页 浏览 器 ,这 就 会 产生 KSS 攻击 。 
KSS 攻击 允许 攻击 者 在 受害 者 的 浏览 器 上 执行 脚本 ,从 而 劫持 用 户 会 话 , 危 害 网 站 ,或 者 
将 用 户 转向 至 恶意 网 站 。 

CSRF 表示 Cross-Site Request Forgery( 跨 站 请 求 伪造 ) ,也 被 称 为 单 击 式 攻击 (one 
click attack) 或 者 会 话 劫持 (session riding) ,通常 缩写 为 CSRF 或 者 XSRF ,是 一 种 对 网 站 
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的 恶意 利用 。 尽 管 听 起 来 像 XSS 攻击 ,但 它 与 XSS 攻击 非常 不 同 ,并 且 攻 击 方式 几乎 相 
左 。XSS 攻击 利用 站 点 内 的 信任 用 户 , 而 CSRF 攻击 则 通过 伪装 来 自 受 信任 用 户 的 请 求 
来 利用 受信 任 的 网 站 。 与 XSS 攻击 相 比 ,CSRF 攻击 往往 不 大 流行 (因此 对 其 进行 防范 
的 资源 也 相当 稀少 ) 和 难以 防范 ,所 以 被 认为 比 XSS 攻击 更 具 危 险 性 。 

其 风险 在 于 ,那些 通过 基于 受信 任 的 输入 表单 和 对 特定 行为 无 须 授 权 的 已 认证 的 用 
户 来 执行 某 些 行为 的 Web 应用。 已 经 通过 被 保存 在 用 户 浏览 器 中 的 Cookie 进行 认证 的 
用 户 将 在 完全 无 知 的 情况 下 发 送 HTTP 请 求 到 那个 信任 他 的 站 点 ,进而 实施 用 户 不 愿 做 
的 行为 。 

使 用 图 片 的 CSRF 攻击 常常 出 现在 网 络 论坛 中 ,因为 那里 允许 用 户 发 布 图 片 而 不 能 
使 用 JavaScript。 

网 站 一 旦 受到 这 两 种 攻击 ,用 户 的 信息 就 完全 暴露 了 ,如 果 一 个 网 站 连 最 简单 的 
XSS 攻击 都 防护 不 了 ,那么 这 个 网 站 的 安全 问题 就 非常 值得 考虑 ,用 户 当然 不 愿意 个 人 
信息 被 暴露 ,所 以 更 不 会 去 使 用 此 网 站 。 
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在 w3af GUI 中 查看 分 析 结 果 ,选择 Results 选项 卡 ,可 以 看 到 每 一 个 攻击 所 发 出 的 
请 求 信息 ,如 图 12-33 所 示 。 


KB Browser | sts | RequestResponse navigator | 
E vun [2 ifo O Msc [Cross Site Scripting was found at; "htta;//demo.testfire net/seardiuasy", using HTTP method 
ü üs (GET. The sent data was 'beSearch- «SCrIPT»alert('8262")/SCrIPT»" |rhis vulnerabity 
Knowledge Base affects ALL browsers, This vunerabiliy was Tound n T 30, 

collectCookies | 

serverHeader 

allowedMethois 


strangeHTTPCode 
findComments 


aspx?txtSearch-cSCrIPT»alert 


xs 


J | Acce linç 
E Cross ste scripting ac 
| User-agent: waa 


A 12-33 XSS 攻击 的 请 求 信息 


在 Results 中 查看 响应 信息 , 单 击 Response 选项 卡 ,如 图 12-34 所 示 。 
w3af 的 扫描 结果 的 响应 信息 展示 了 攻击 出 现 的 页 面 内 容 ,为 了 验证 此 XXS 攻击 ,可 
以 将 请 求 内 容 复制 到 受 攻击 站 点 实际 操作 一 次 ,如 图 12-35 所 示 。 
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Vun E] ifo C] Msc [Cross Site Scripting was found at: "hto://demo.testire.net/search.aspy', using HTTP method 
UHAR GET. The sent data was: "btSearch-«SCrIPT »alert("8262") «/SCrIPT »". This vulnerability 
affects ALL browsers. This vulnerability was found in the request with id 130. 
collectCookies | 


serverHeader 
allowedMethods sages resone] | 


sirangelTTPCode «td valign="top" colspan-"3" class-"bb"» 


findComments 


<div classe"fl" style="width: 99t; "> 

<h1>Search Resultsc/hi» 

<p>No results were found for the query:<br /><br /> 

<span ide" ctlO ctl0 Content Main lblSearch"»«SCrIPT»alert 


("B262") «/SCrIPT»«/ span»«/p» 


</div> 


12-35 ”实际 受 攻击 站 点 验证 


实际 操作 验证 了 此 网 站 的 搜索 框 确实 受到 KSS 攻击 。 此 次 扫描 结果 不 止 KSS 攻 
击 , 还 包含 HTTP Header 信息 ,如 图 12-36 所 示 。 


此 次 攻击 还 暴露 了 HTTP Header 的 X-Powered-By, X-AspNet-Version 和 
Server 项 。 


(D Server; Web 服务 器 的 版 本 。 通 常会 看 到 Microsoft-IIS/8. 0,nginx/1. 0. 11 和 
Apache 这 样 的 字段 。 这 里 看 到 的 就 是 Microsoft-TIS/8. 0. 
(2) X-Powered-By: Web 应 用 框架 信息 。 常 见 例子 是 ASP. NET,PHP/5. 2. 17 和 
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KB Browser | URLs | Request/Response navigator | 

Vuln 回 Info O Misc. Px-AspNet-Version" header for this HTTP server is: "2.0.50727". This information was found in 
the request with id 93. 

po -—— 

| — collectCookies (a) 

Wo oseverexer — (2) 

v poweredBy (2) Request Response | 


[ 


Q Powered by Pond HIIP/1.1 200 OK 
Po sever (1)  |content-Length: 9550 
^ — alowedMethods (1) ,| X-Powered-By: ASP.NET 
b į | Set-Cookie: amSessionId=232549400939; path=/ 
į | Expi -1 
Db redos (1) "AspNet-Version: 2.0.50727 
b oscommandmg (1) Server: Microsoft-IIS/8.0 
Pragma: no-cache 
D — strangeHTTPCode (1) Cache-Control: no-cache 
b findcomments (1) Date: Sun, 12 Jul 2015 04:25:48 GMT 
b eal a) Content-Type: text/html; charset=utf-8 
b s (1) 


A 12-36 HTTP Header 暴露 的 信息 


UrlRewriter. NET 2. 0.0。 这 里 得 到 的 结果 是 ASP. NET, 

(3) X-AspNet-Version; ASP. NET 版 本 ,只 有 ASP. NET 站 点 有 这 样 的 Header, 
这 里 得 到 的 ASP. NET 版 本 号 是 2. 0. 50727。 

此 次 扫描 还 出 现 一 个 405 错误 : 405-HTTP, 表 示 用 来 访问 本 页 面 的 HTTP 谓词 不 
被 允许 (方法 不 被 允许 ) ,如 图 12-37 所 示 。 


secun telo 
ppa pea 
wn E me Ome 

pania 


» 
» 
» 
» 


405 - HTTP verb used to access this page Is not allowed. 
Tie pege yos re looting lor cannot be displayed because en invalid method (HTTP verb) wes ned to attempt access. 


图 12-37 页 面 出 现 405 错误 


1046 在 扫描 结果 文件 中 查看 结果 


扫描 结果 还 可 以 在 保存 的 结果 文件 中 查看 ,如 图 12-38 所 示 。 

w3af 的 扫描 结果 按 安 全 问题 的 等 级 从 高 到 低 排列 , 列 出 问题 的 端口 和 问题 描述 , 扫 
描 结果 与 ZAP 工具 类 似 , 但 描述 的 内 容 却 没有 ZAP 扫描 结果 描述 得 详细 ,这 是 w3af 的 
Nom. 


但 是 ,在 w3af 扫描 结果 的 下 方 , 还 打出 了 详细 的 扫描 日 志 ,这 方便 了 使 用 者 对 问题 的 
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Vid Wo Nick end Adi. X 


DEL Flee Ghee E [a ar -aen jte * f 8 *- 5- 
Baces L xm cmd 


| 

emo teste net 

Type — Pot Issue 

Mireghi tD Cross Ste Saytrg vas found at: Pttp://derma teste ret/sewrch.aspa”, veng HTTP method GET. The set data was: 


sca NADH "CIK m2 TP Tha wberaity afea ALL browsers. Ti vureratity was od 
‘n the request wth d 134. 


URL: pepJIdemo testfre.net/search aspx 
Severty :Medum 
Woperablty (80 |The URL: tp. [demo estre ne/sech aspx s vnerable t cross ste request forgery. 


URL htrp://demo reerfre net soreh aspx 
Severty : Low 


lnfomaton tp。 Oros Ste Saparg vas found at: Pup/demo estre netseardaspi, ing HTTP method GET. The sent data was: 
aseardy="W B24" Kv» =%26% 7B (YTD". Tha vunerabty fies ALL browsers. Th vnerablty was found 
nthe request b id 134. 


URL : ht: ídemo tere research aspx 
lorraton Undefned — "XepNetVersor header for ths HTTP server s: "0.50727. This nformaton vas found n the request wh d 18. 


URL e Undefined 
Taim  Undened X-Powered EN header lor thes HTTP server: “ASP.NET”. Ths nformoton was found n the request wth d 14: 


URL s Undefned 
Ta  Undelred |The server header for the remote web server s: "Hos. Thes rformaton wes found m the request wth d 


图 12-38 ”扫描 结果 
定位 ,从 开发 者 的 角度 看 ,有 这 样 的 日 志 , 修 复 安全 漏洞 就 更 容易 些 。 
1247 通过 Boat 进行 漏洞 验证 


当 扫 描 完成 之 后 ,选择 Exploit ,就 可 以 针对 不 同 的 漏洞 类 型 对 漏洞 进行 利用 ,Exploit 
选项 里 具有 一 些 漏洞 利用 插件 ,可 对 常见 的 漏洞 进行 验证 ,如 图 12-39 所 示 。 


W waat - dematestire net ^7 -一 A EINEN 
Profiles Edit View Tools Configuraton Help 


îe | D H | Å i g i8 i "e. 
Wizards | New Save | Cer seuse| Mutipe Exploit |Manual Request Fuzzy Request Encode/Decode 
Sannio [Loo [sess | — SRAT UR 3 
Exploits Vulnerabilities |Shels | 
davShell |A Cross site request forgery vul | 
eval Cm ing vulnerabil 


flleUploadShell 
localFleReader 


rproy 
Sql webshel 
sqimap 
xssBeef 


fileUploadShell 
localFileReader. 

osCommandingShell Ed 
remoteFileIncludeShell 


Qu» A2 0 


Æ 12-39 Exploit 进行 漏洞 验证 


左边 显示 的 为 所 有 可 用 的 漏洞 攻击 插件 ,可 以 右 击 插件 ,在 快捷 菜单 中 选择 编辑 插 
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件 .配置 插件 等 。 中 间 为 发 现 的 可 利用 的 问题 ,可 以 根据 不 同 的 问题 选择 并 设置 好 相应 的 
插件 。 右 边 为 使 用 漏洞 验证 功能 得 到 的 shell. 

前 面 说 过 , w3af 是 一 个 Web 应 用 的 审计 及 攻击 平台 , 它 不 同 于 其 他 的 Web 应 用 安 
全 扫描 工具 的 地 方 就 在 于 此 ,此 部 分 留 给 大 家 多 实践 吧 。 

w3af 除了 扫描 功能 、 漏 洞 验证 功能 外 ,也 包含 了 一 些 常用 的 小 工具 ,这 些小 工具 在 漏 
洞 验 证 ,漏洞 发 现 方面 也 有 非常 大 的 作用 。 其 中 的 Manual Request 工具 可 能 是 大 家 最 党 
用 的 一 款 工 具 了 。 这 些小 工具 的 使 用 比较 复杂 ,这 里 不 再 费 述 ,有 兴趣 的 读者 可 以 再 深入 
研究 。 


12.5 本 章 小 结 


本 章 主要 介绍 了 用 于 主动 扫描 的 w3af, 也 就 是 用 户 设置 扫描 策略 和 目标 服务 器 地 
址 ,w3af 自己 进行 疏 行 和 审核 。 

w3af 的 扫描 可 以 很 全 面 ,如 果 将 所 有 插件 都 选 上 ,扫描 的 结果 就 更 全 面 ,但 是 扫描 的 
时 间 肯 定 就 更 长 ,因为 扫描 的 内 容 更 多 。 用 户 在 使 用 w3af 时 可 根据 自己 的 需要 选择 要 执 
行 的 插件 ,如 果 不 清楚 插件 的 功能 ,可 在 w3af Console 里 面 查看 。 

限于 篇 幅 ,这 里 只 介绍 了 w3af 非常 少 的 扫描 功能 ,还 有 其 他 功能 有 待 读者 自己 去 发 
现 和 研究 。 这 里 给 出 了 一 个 大 的 方向 ,读者 自己 再 去 摸索 学 习 是 很 快乐 的 ,特别 是 当 自己 
悟 到 一 些 东西 的 时 候 , 会 非常 有 成 就 感 。 

初学 者 可 以 使 用 w3af GUI 对 目标 URL 进行 扫描 ,要 更 深层 次 地 了 解 w3af, 建 议 使 
用 w3af Console 命令 扫描 。 对 工具 的 学 习 要 层 层 深入 ,不 能 总 停留 在 表面 ,只 知道 工具 
怎么 使 用 , 却 对 攻击 原理 与 攻击 方式 一 无 所 知 或 者 一 知 半 解 。 

学 习 安全 测试 工具 不 是 为 了 能 使 用 几 个 工具 ,减少 自己 的 工作 量 ,而 是 要 更 深入 地 了 
解 安全 攻击 原理 ,才能 有 效 地 尽 可 能 减少 安全 问题 的 暴露 ,从 而 提高 产品 的 质量 。 


1. 简 述 w3af 工具 的 使 用 方法 。 


2. 简 述 各 个 插件 的 扫描 功能 。 
3. 简 述 信息 报告 的 各 项 含义 。 


网 络 封包 分 析 软 件 Wireshark 


13.1 Wireshark 简介 


Wireshark 是 一 个 免费 开源 的 网 络 数 据 包 分 析 软件 。 网 络 包 分 析 工 具 的 主要 作用 是 
尝试 捕获 网 络 包 ,并 尝试 显示 包 的 尽 可 能 详细 的 情况 。 


1311 Wreshak 的 特性 


Wireshark 特性 如 下 : 

支持 UNIX 和 Windows 平台 。 

在 接口 实时 捕 提包 。 

能 详细 显示 包 的 协议 信息 。 

可 以 打开 或 保存 捕捉 的 包 。 

可 以 导入 导出 其 他 捕捉 程序 支持 的 包 数 据 格式 。 
可 以 通过 多 种 方式 过 滤 包 。 

可 以 通过 多 种 方式 查找 包 。 

可 以 创建 多 种 统计 分 析 , 等 等 。 


1312 Wreshark 的 主要 功能 


Wireshark 的 主要 功能 如 下 : 

* 网 络 管理 员 用 来 解决 网 络 问题 。 

* 网 络 安全 工程 师 用 来 检测 安全 隐患 。 
。 开 发 人 员 用 来 测试 协议 执行 情况 。 
。 用 来 学 习 网 络 协议 。 


13.2 安装 Wireshark 


首先 下 载 安装 包 , 下载 地 址 为 https://www. wireshark. org/download. html. 如 
图 13-1 所 示 。 
读者 可 以 选择 适合 自己 的 镜像 站 点 。 


1321 Windows T eX Wreshak 


在 Windows 下 安装 Wireshark 的 步骤 如 下 : 


Œ ”由 网 站 漏洞 扫描 与 渗透 攻击 工具 揭 黎 
q 


We're having a conference! You're invited! 


The current stable release of Wireshark is 1.12.5. It supersedes all previous releases. You can also download the latest development 
release (1.99.5) and documentation. 


$È Windows Installer (64-bit) 
Windows Installer (32-bit) 
Windows PortableApps (32-bit) 
OS X 10.6 and later Intel 64-bit dmg 
OS X 10.5 ard later Intel 32-bit dmg 


OS X users might want to try the development release below 


Source Code 


M osse niesec01) 图 
图 13-1 下 载 安 装 包 


找到 下 载 好 的 安装 包 , 双 击 . exe 文件 进行 安装 。 
在 欢迎 界面 , 单 击 Next 按钮 ,如 图 13-2 所 示 。 
TA Wireshark 1.12.4 (84-bit) Setup ES x) 


Welcome to the Wireshark 1.12.4 
(64-bit) Setup Wizard 


This wizard will guide you through the installation of 
Wireshark. 


Before starting the installation, make sure Wireshark is not 
ruming. 


Click Next to continue. 


! 
! 
I 
有 
! 


132 ”欢迎 界面 


在 协议 界面 , 单 击 I Agree 按钮 ,如 图 13-3 所 示 。 

进入 组 件 选择 界面 , 单 击 Next 按钮 ,如 图 13-4 所 示 。 

选择 创建 图 标 位 置 ,3 个 选项 分 别 是 开始 菜单 .桌面 图 标 和 快速 启动 图 标 。 根 据 喜好 
自行 选择 后 单 击 Next 按钮 ,如 图 13-5 所 示 。 

单 击 Browse 按钮 ,设置 安装 路 径 , 也 可 以 直接 单 击 Next 按钮 ,如 图 13-6 所 示 。 

勾 选 是 否 安装 WinPcap, 建 议 勾 选 安装 ,也 可 以 单 击 What is WinPcap 按钮 来 了 解 
WinPcap ,然后 单 击 Install 按钮 ,如 图 13-7 所 示 。 

安装 中 ,如 图 13-8 所 示 。 
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Please review the license terms before instaling Wireshark 1.12.4 (64bit). 


Press Page Down to see the rest of the agreement. 
[This text consists of three parts: 

[Part I: Some remarks regarding the icense given in 
Part II: The actual icense that covers Wireshark. 
Part ITI: Other applicable Kcenses. 


hen in doubt: Part I/II is the legally binding part, Part Lis just 
Ithere to make it easier for people that are not famiiar with the GPLv2. 


1f you accept the terms of the agreement, cick I Agree to continue. You must accept the 
agreement to install Wireshark 1.12.4 (54bit). 


Wireshark Installer (tm) 


(sm Jae ) omen) 


图 13-3 协议 界面 


Choose Components 
Choose which features of Wireshark 1.12.4 (64-bit) you want to install 


The following components are available for installation. 


Space required: 105.5MB. Position your mouse over a component to see its 
description 


[| Wireshark Installer (tm) 


Create Shortcuts 
Fl Start Menu Item 
[V] Desktop Icon 
IE] Quick Launch Icon. 


Fie Extensions. 

[V] Associate trace fie extensions to Wireshark 

Extensions: vw, acp, apc, atc, bft, cap, enc, erf, fdc, out, pcap, 
pxapng, pkt, rf5, snoop, SYG, tpc tri, trace, trc, vwr, WPC, wpz 


Wireshark Installer (tm) 


[ceee ]L net> | 


图 13-5 图 标 选 择 界面 
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Choose Install Location. 
Choose the folder in which to install Wireshark 1.12.4 (64-bit). 


Choose a directory in which to install Wireshark. 


Destination Folder. 


D:oftwireshark\ 


Space required: 105.948 
Space available: 8.468 


Wireshark Installer (tm) 


图 13-6 路径 选择 界面 


Install WinPcap? 
WinPcap is required to capture ive network data. Should WinPcap be installed? 


Currently installed WinPcap version 
WinPcap is currently not installed 


Install 


[V] Install WinPcap 4.1.3 
(Use Add Remove Programs first to uninstall any undetected old WinPcap versions) 


Wireshark Installer (tm) 


图 13-7 是 否 安装 WinPcap 


Please wait while Wireshark 1.12.4 (64-bit) is being installed. 


Execute: "D: goftlresharklvcredst x64exe [a /norestart 


Extract: services 

Extract: pdmi2html.xsl 

Extract: ws.css 

Extract: wireshark.html 

Extract: wireshark-filter html 

Extract: dumpcap.exe. 

Extract: dumpcap.html 

Extract: pmap.html 

Extract: vaedist x64,exe... 100% 

Execute: "D: lsoftiresharkvcredist x64.exe" /q /horestart 


Wireshark Installer (tm) 
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fal; Next 按钮 ,开始 安装 WinPcap 软件 ,如 图 13-9 所 示 。 


lm. 


(9) WinPcap 4.1.3 Setup. [c ~ 


Welcome to the WinPcap 4.1.3 
Setup Wizard 
This Wizard will guide you through the entire WinPcap. 


installation. 
For more information or support, please visit the WinPcap. 


13-9 WinPcap 安装 向 导 欢 迎 界面 


单 击 T Agree 按钮 ,如 图 13-10 所 示 。 


[Ð WinPcap 4.1.3 Setupa 


License Agreement 
m cap Please review the icense terms before instaling WinPcap 4.1.3. 


Press Page Down to see the rest of the agreement. 


|Copyright (c) 1999 - 2005 NetGroup, Politecnico di Torino (Italy). ^ 
Copyright (c) 2005 - 2010 CACE Technologies, Davis (California). 3 
Copyright (c) 2010 - 2013 Riverbed Technology, San Francisco (California). "1 
Al rights reserved. 


Redistribution and use in source and binary forms, with or without modification, are 
permitted provided that the following conditions are met: 


1. Redistributions of source code must retain the above copyright notice, this list of 
Kconditions and the folowing discaimer., 
2. Redistributions in binary form must reproduce the above copyright notice, thisist of ~ 


1f you accept the terms of the agreement, dick I Agree to continue. You must accept the. 
agreement to install WrnPcap 4. 1.3. 


图 13-10 协议 界面 


色 选 Automatically start the WinPcap driver at boot time 复 选 框 ,意思 是 系统 启动 
的 时 候 自 动 启动 WinPcap , 单 击 Install 按钮 ,如 图 13-11 所 示 。 

安装 中 ,如 图 13-12 所 示 。 

WinPcap 安装 完成 , 单 击 Finish 按钮 ,如 图 13-13 所 示 。 

继续 安装 Wireshark ,如 图 13-14 所 示 。 

单 击 Next 按钮 ,如 图 13-15 Bros o 

单 击 Finish 按钮 ,完成 安装 。 
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q” 


后 WinPcap 4.1.3 Setup. X 


b Installation options 
TV CAD Pease review the folowing options before instaling winecap 
413 


[V] Automatically start the WinPcap driver at boot time. 


13311 自 启动 选择 界面 


后 winpcap 4.13 Setup 0 


Vi Peap poe whie WinPcap 4. 1.3is being installed. 


Extract: Packet. dl... 100% 
-— - — —c- 


图 13-12 安装 WinPcap 中 


Completing the WinPcap 4.1.3 
Setup Wizard 


WinPcap 4.1.3 has been installed on your computer. 
Click Finish to dose this wizard. 


13-13 WinPcap 安装 完成 界面 
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Please wait whie Wireshark 1.12.4 (64bit) is being installed. 


Extract: RADIUS-AUTH-SERVER-MIB. 


Extract: PW-STD MIB ^ 
Extract: PW-TC-STD MIB 

Extract: PW-TOMMIB 

Extract: PerfHst-TC-MIB 

Extract: Printer-MIB. 

Extract: Q-BRIDGE-MIB 

Extract: RADIUS-ACC-CLIENT-MIB 

Extract: RADIUS-ACC-SERVER-MIB. 

Extract: RADIUS-AUTH-CLIENT-MIB. 


Wireshark Installer (tm) 


Extract: reordercap.exe 

Output folder: D: \soft\wireshark 
Extract: capinfos.exe 

Extract: capinfos.html 

Output folder: D: oft wireshark 
Extract: rawshark.exe. 

Extract: rawshark.htmi 

Output folder: D: \soft\wireshark 
Extract: user-guide.chm. 
Completed 


Wireshark Installer (tm) 


[ «9 meta.) [ canal 


图 13-15 ”完成 安装 


1322 Linx 下 安装 Wreshark 
进入 命令 行 模式 ,输入 以 下 命令 即 可 自动 安装 : 
dapt- œt install wireshark 
13.3 Wireshark 主 界面 
打开 捕捉 包 文件 之 后 的 主 界面 如 图 13-16 所 示 。 


(1) 菜单 栏 : 用 于 开始 操作 。 
(2) 主 工具 栏 ; 提供 快速 访问 菜单 中 经 常用 到 的 项 目的 功能 。 


Sm/ vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


[M 73938. Wireshark 1125 (v1125-0-g5819e5b from raster-L12] 
E Bit yew Go Qotre Andre gasas Teephony Took temas Heb 
RE—jeesmae^xe^*eeoeza2a[Naaanags-x E 


Ey QUE. K VIN, UN 
p i00 standard query response Ox3fe7 A 180.96.7] 
men M solicit xip: QeY2Ff? cro: o00100011c16193 
MIT? — 203WTTP/I.1 200 OK (text, 

T 54 80-51321 [FIN, ACK] Seq-150 Ack«l winc8142 


包 列 表面 板 


2.168. 31.185 
lirssenoinnrwin 192.168.31.185__ m 54 80-1321 [ACK] Seqel5l acke2 wins8142 Lent 


15 3. 53797600 192.168. 31.185 — 183.232.95.181 28-80 [SYN] Seq-O win-R192 Len=0 NSS=141 
16 3.39389400183.232,95. 181 — 1311882185 66 80-51328 [SYN, ACK] Seq=0 Ack«l win=5760 Lv 
17 3. 59400300 19; 183.232.95.181 TCP 54 51328-80 [ACK] Seq-l Ack-l win=66240 Len=0 
1B 3.59526100192168. 31L.185 183.232.95.10 MIP 1410 ET /p011?r=0.435895655537024144u=51110302t 


19 3.63269000183.232.95,181  192.168.31.185 TCP 54 80-51328 [ACK] Seq-1 Ack=1357 win=8704 Len- 
20 3. 66000400 120.196. 212.73 192.168. 31.185 — OICO 121 Orco Protocol m 
—  — —— 


有 -一 一 一 一 
met II, Src: Intelcor_f2:bd:9f tn en XiaomiE1_12:b8:4d (64:09:80:12:b8: 

5 mernet protocol version 4, sre: 192168 31 185 (192.108. 31.189), DSt? 192.168.3.1 (192.16531 D 
a User Datagram Protocol, Sre Port: 49445 (49445), Dst Port: 53 (53) 

a Domain Nase system (c 


包 细 节 面 板 


包 字 节 面 板 
状态 栏 


图 13-16 ”Wireshark 主 界面 


(3) 过 滤 工具 栏 : 提供 处 理 当 前 显示 过 滤 的 方法 ( 见 13. 5.2 节 )。 

(4) 包 列 表面 板 : 显示 打开 文件 的 每 个 包 的 摘要 。 单 击 面板 中 的 单独 条 目 , 包 的 其 
他 情况 将 会 显示 在 另外 两 个 面板 中 。 

G) 包 详情 面板 : 显示 用 户 在 包 列 表面 板 中 选择 的 包 的 更 多 详情 。 

(6) 包 字 节 面 板 : 显示 用 户 在 包 列 表面 板 选择 的 包 的 数据 ,以 及 在 包 详情 面板 高 亮 
显示 的 字段 。 

(7) 状态 栏 : 显示 当前 程序 状态 以 及 捕捉 数据 的 更 多 详情 。 


1331 主 菜单 


Wireshark 主 菜单 中 包含 了 所 有 操作 ,如 图 13-17 Bros ,下面 介绍 主 菜 单 中 各 菜单 的 
具体 功能 。 


He Edt Vew Go Capture Amare Statstcs Telephony Toos intemas Heb 


图 13-17 Wireshark 主 菜单 


File 菜单 如 图 13-18 所 示 。File 菜单 和 一 般 软 件 的 File 菜单 类 似 , 包 括 打开 、 合 并 、 
保存 .打印 .导出 捕捉 文件 的 全 部 或 部 分 ,以 及 退出 Wireshark, 

Edit 菜单 如 图 13-19 所 示 , 包 括 查找 包 、 时 间 参 考 ,标记 一 个 或 多 个 包 、 设 置 预 设 
参数 。 

View 菜单 如 图 13-20 所 示 ,主要 是 控制 捕 提 数据 的 显示 方式 ,包括 颜色 .字体 缩放 、 
将 包 显 示 在 分 离 的 窗口 .展开 或 收缩 详情 面板 的 树 状 节点 等 功能 。 

Go 菜单 如 图 13-21 所 示 ,主要 包含 跳 转 到 指定 包 的 功能 。 

Capture 菜单 如 图 13-22 所 示 ,主要 包括 开始 或 停止 捕捉 编辑 过 滤器 等 功能 。 


B Open... 

Open Recent 

Merge... 

Import from Hex Dump... 
M Cose 


B Save 
目 Save As... 


File Set 


Export Specified Packets... 
Export Packet Dissections 
Export Selected Packet Bytes... 
Export PDUs to Fie... 

Export SSL Session Keys... 
Export Objects 


|B Prnt... 


v Colorize Packet Lit. 
v. Auto Scroll in Live Capture. 


Q Zoom in Ce 

Zoom Qut Cie 

(à Normal Sze Cokh= 

E) Reste Al Columns Shift+CbHR 
Displayed Columns » 
Expand Subtrees Shift+Right 
Colapse Subtrees Shift+Left 
Expand All ChHRight 
Colapse All CtrisLeft. 
Colorize Conversation » 
Reset Coloring 1-10 Ctri-Space 

"ll Coloring Rules... 
Show Packet in New Window 

@ Reload 


图 13-20 View 菜单 


Analyze 菜单 如 图 13-23 所 示 ,包含 处 理 显 示 过 滤 、 允 许 或 禁止 分 析 协 议 .配置 用 户 指 
定 解码 和 追踪 TCP 流 等 功能 。 


Copy , 
/ Fnd Packet... CuhF 
Fnd Next Ctr 
Find Previous Ctrl. 
Mark/Unmark Packet ChrHM 
Mark Al Dispbyed Packets Sh 丰 +CtrHM 
Unmark All Displayed Packets CtrlHAKk+M 
Next Mark Shíft«CtrieN 
Previous Mark Shift+Ctr+B 
lgnore/Unignore Packet CD 
Ignore Al Displayed Packets Shift+Ctri+D 
Unignore All Packets Ctrl+Ak+D 
(9 Set/Unset Time Reference CT 
Unset Al Time References. CtrisAlt T. 
Next Time Reference CtrisAlteN 
Previous Time Reference Cl+Ak+8 
© Time Shit... Shift+Ctri+T 
Edit Packet 
li Packet Comment... 
Configuration Profis... Shift+Ctr+A 
9 Preferences... Shift«CtriP 


图 13-19 Edit 菜单 


Go Capture Analyze Statistics Telephony T. 


* Back Al«Left. 
$ Forward AltsRight 
® Go to Packet... ChlG 
Go to Corresponding Packet 
会 Previous Packet Crisp 
4 Next Packet Col+Down 
F Frst Packet CtrhHome 
3 Last Packet Ctrl+End 
合 Previous Packet In Conversation Quis, 
9 Next Packet In Conversation Cris. 
图 13-21 Go 菜单 


© Interfaces... 
© Options... 
A sut 


B Stop 

A Restart 

M Capture fiters... 
f) Refresh Interfaces 


图 13-22 Capture 菜单 
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Statistics 菜单 如 图 13-24 所 示 。 


Statistics 包括 的 菜单 项 用 于 显示 多 个 统计 窗口 ,包括 关于 捕捉 包 的 摘要 、 协 议 层 次 
统计 等 。 


Telephony 菜单 如 图 13-25 所 示 ,其 中 有 许多 与 电话 通信 相关 的 协议 ,而 用 户 最 常用 
到 的 就 是 RTP 和 VoIPCalls。 


re Sumus Try Tk Ra 
Display Fiters.... 
Display Fiter Macros... 
Apply as Column 
Apply as Fiter » 
Prepare a Fiter $ 


Z Enabled Protocols... Shift+Ctr+E 
Qi Decode As... 
"8l User Specified Decodes... 

Folow TCP Stream 

Folow UDP Stream 

Follow SSL Stream 
Expert Info 

Conversation Fiter » 

———1 


图 13-23 Analyze 菜单 图 13-24 Statistics 菜单 图 13-25 Telephony 菜单 


Tools 菜单 提供 工具 选项 ,如 图 13-26 所 示 。 
Internals( 内 部 构件 ) 菜 单 如 图 13-27 所 示 。 


Help 菜单 如 图 13-28 所 示 ,包含 一 些 辅助 用 户 的 参考 内 容 , 如 访问 一 些 基本 的 帮助 
文件 支持 的 协议 列表 ,用户 手册 ,在 线 访 问 一 些 网 站 等 。 


Intemas Heb 

Dissector tables 
Firewall ACL Rules Conversation hash tables 
Lua , Supported Protocols (slow!) 


Æ 13-26 Tools 菜单 Æ 13-27 Internals 菜单 13-28 Help 菜单 
1332 主 工 具 栏 


主 工 具 栏 显示 了 常用 的 功能 ,使 用 户 可 以 快速 找到 经 常用 的 操作 ,如 图 13-29 所 示 。 
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图 13-29 主 工具 栏 


下 面 通过 表 13-1 介绍 主 工具 栏 中 图 标的 含义 及 其 功能 。 
表 13-1 主 工具 栏 图 标 解释 


工具 栏 图 标 名 R 对 应 菜单 项 描 述 
e 接口 Capture/Interfaces | 打开 接口 列表 对 话 框 
9 | 选项 Capture/Options — | 打开 捕 提 选项 对 话 框 
x | 开始 Capture/Start 使 用 最 后 一 次 的 捕捉 设置 立即 开始 捕捉 
m" Bab Capture/Stop 停止 当前 的 捕 提 
o | 重新 开始 Capture/Restart — | 停止 当前 捕捉 ,并 立即 重新 开始 
打开 File/Open 启动 打开 文件 对 话 框 ,用 于 载 人 文件 
"mm "T" Pe SENE 将 弹 
"Ew "Um Im 如 果 未 保存 ,将 会 提示 
g 重新 载 人 View/Reload 重新 载 人 当前 文件 
a 查找 包 Edit/Find Packet 打开 一 个 对 话 框 ,查找 包 
e 返回 Go/Go Back 返回 历史 记录 中 的 上 一 个 包 
明 | 下 一 个 Go/Go Forward 跳 转 到 历史 记录 中 的 下 一 个 包 
Ə | 跳 转 到 包 Go/Go to Packet — | 弹出 一 个 设置 跳 转 到 指定 的 包 的 对 话 框 
T 跳 转 到 第 一 个 包 Go/First Packet 跳 转 到 第 一 个 包 
2 跳 转 到 最 后 一 个 包 | Go/Last Packet 跳 转 到 最 后 一 个 包 
目 彩色 化 View/Colorize 切换 是 否 以 彩色 方式 显示 包 列 表 
实时 捕 提 时 自动 滚动 m T ^ | 开启 /关闭 实时 捕捉 时 自动 滚动 包 列 表 
& 放大 View/Zoom In 增 大 字体 
Q 缩小 View/Zoom Out 缩小 字体 
Q 正常 大 小 View/Normal Size | 设置 缩放 大 小 为 100% 
本 

彩色 显示 规则 View/Coloring Rules | 定义 以 彩色 方式 显示 数据 包 的 规则 
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续 表 
工具 栏 图 标 £ R 对 应 菜单 项 描 g 
项 。 | 首选 项 Edit/Preferences — | 打开 首选 项 对 话 框 
g 帮助 Help/Contents 打开 帮助 对 话 框 


1333 过 滤 工 具 栏 


过 滤 工 具 栏 用 于 编辑 或 显示 过 滤器 ,使 用 过 滤器 可 以 快速 找到 需要 的 信息 ,如 
图 13-30 所 示 。 


图 13-30 过滤 工具 栏 界面 


过 滤 工 具 栏 的 解释 如 表 13-2 Bros o 
表 13-2 过 滤 工 具 栏 
功能 项 £ HW 说 0H 


Filter 按钮 | 过 滤 打开 构建 过 滤器 对 话 框 


在 此 区 域 输入 或 修改 显示 的 过 波 字 符 ,用 户 可 以 单 击 下 拉 列 表 选 择 移 
文本 框 。 | 过 滤 输 入 框 | 前 输入 的 过 滤 字 符 。 列 表 会 一 直 保留 ,即使 用 户 重新 启动 程序 


Expression | 表达 式 打开 一 个 对 话 框 , 从 协议 字段 列表 中 编辑 过 滤器 
Clear 清除 重 置 当前 过 滤器 ,清除 输入 框 
Apply 应 用 应 用 当前 输入 框 的 表达 式 为 过 滤器 进行 过 滤 

保存 在 文本 框 的 过 滤 输 入 ,并 在 过 滤 工 具 栏 添加 一 个 按钮 ,按钮 名 称 为 
pte 保存 过 小 输入 | 自 定义 bd EORR ELEC BERE REL E 


1334 包 列 表面 板 
包 列 表面 板 显示 所 有 当前 捕捉 的 包 ,如 图 13-31 所 示 。 


o. — Time Source Destination Protocol Length Info E 


10.000000  2404:6800:4005:804: 2002:7244:8186: :72dTCP 94 443-49476 [FIN, ACK] Seq-l AcI-] 
20.000190 — 2002:72d4:8186::722404:6800:4005:804: TCP 94 49476-443 [ACK] Seq-l Ack-2 w 
30.071390 114.212.135.198 114.212.143.255  NBNS 92 Name query NB WPAD<00> 
40.073400 114.212.130.152 114.212.143.255  NBNS 92 Name query NB WPAD<00> 
50.086724 114.212.130.225 114.212.143.255  NBNS 92 Name query NB WPAD<00> 
60.369149 114.212.130.152 114.212.143.255  NBNS 110 Registration NB LENOVO-PC<20> 
7 0.372059 114.212.130.152 114.212.143.255  NBNS 92 Name query NB WORKGROUP<1C> 
80.377193 114.212.142. 84 114.212.143.255 BROWSEF 243 Host Announcement STU49C842, | 
90.500572 2002:72d4:8186::72d2404:6800:4008:c05: TCP 94 49205-443 [FIN, ACK] Seq=1 Acl 
10 0.666335 114.212.142.9 114.212.143.255  NBNS 110 Registration NB WORKGROUP<00> 
11 0.666668 114.212.142.9 114.212.143.255  NBNS 110 Registration NB STU49C876<00> ,| 
g rr + 


13-31 包 列 表面 板 


列表 中 的 每 行 显示 捕捉 文 件 的 一 个 包 。 如 果 选 择 其 中 一 行 ,该 包 的 更 多 情况 会 显示 
在 包 详 情 面 板 和 包 字 节 面 板 中 。 
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在 分 析 ( 解 前) 包 时 , Wireshark 会 将 协议 信息 放 到 各 个 列 。 因 为 高 层 协议 通常 会 覆 
盖 底 层 协议 ,在 包 列 表面 板 看 到 的 通常 都 是 每 个 包 的 最 高 层 协议 描述 。 

包 列 表面 板 有 很 多 列 可 供 选择 。 需 要 显示 哪些 列 可 以 在 首选 项 中 进行 设置 ,默认 设 
置 如 下 : 


No: 显示 包 的 编号 。 

Time; 显示 包 的 时 间 截 。 

Source: 显示 包 的 源 地 址 。 
Destination: 显示 包 的 目的 地 址 。 
Protocol; 显示 包 的 协议 类 型 的 简写 。 
Length: 显示 包 的 长 度 。 

Info: 显示 包 内 容 的 附加 信息 。 


1335 包 详 情 面板 
包 详情 面板 显示 当前 包 ( 在 包 列 表面 板 被 选中 的 包 ) 的 详情 列表 ,如 图 13-32 所 示 。 


田 Frame 1: 94 bytes on wire (752 bits), 94 bytes captured (752 bits) 
Hp-UX Network Tracing and Logging (nett1) header 

Ethernet II, Src: HuaweiTe b2:c0:b4 (ac:85:3d:b2:c0:b4), Ost: HonHaiPr a2:61:a3 (c0:18:85:a2:61:23] 
@ Internet Protocol Version 4, Src: 192.88.99.1 (192.88.99.1), Dst: 114.212.129.134 (114.212.129.134 
& Internet Protocol version 6, Src: 2404:6800:4005:804::1008 (2404:6800:4005:804::1008), Dst: 2002:7; 


图 13-32 包 详 情 面板 


该 面板 显示 在 包 列 表面 板 中 选中 的 包 的 协议 及 协议 字段 ,协议 及 字段 以 树 状 方式 组 
织 , 用 户 可 以 展开 或 折 释 它们 。 右 击 它们 会 获得 相关 的 上 下 文 菜 单 。 

某 些 协议 字段 会 以 特殊 方式 显示 : 

。 Generated fields: 衍生 字段 ,Wireshark 会 将 自己 生成 的 附加 协议 字段 加 上 括号 。 
衍生 字段 是 通过 与 该 包 相关 的 其 他 包 结 合生 成 的 。 例 如 ,Wireshark 在 对 TCP jfi 
应 答 序 列 进行 分 析 时 ,会 在 TCP 协议 中 添加 [SEQ/ ACK analysis] 字 段 。 

* Links( 链 接 ): 如 果 Wireshark 检测 到 当前 包 与 其 他 包 的 关系 ,会 产生 一 个 到 其 他 包 
的 链接 。 链 接 字段 显示 为 蓝 色 字体 ,并 加 有 下 划 线 。 单 击 它 会 跳 转 到 对 应 的 包 。 


1336 包 字 节 面 板 
包 字 节 面板 以 十 六 进 制 转 储 方式 显示 当前 选择 包 的 数据 ,如 图 13-33 所 示 。 


0000 cO 18 


图 13-33 & $185 


通常 在 十 六 进 制 转 储 形式 中 , 左 侧 显 示 包 数据 偏 移 量 , 中 间 栏 以 十 六 进 制 表示 , 右 侧 
显示 为 对 应 的 ASCII 字符 。 
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1337 状态 栏 


状态 栏 用 于 显示 信息 。 通 常 状态 栏 的 左 侧 会 显示 相关 上 下 文 信息 , 右 侧 会 显示 当前 
包 数 目 。 初 始 状态 栏 如 图 13-34 所 示 。 


一 一 一 
(© (8f [Ready to load or capture [No Packets Profle: Default 


H1334 初始 状态 栏 
载 人 文件 后 的 状态 栏 如 图 13-35 所 示 。 


8f | Fle: "FiNstudy 2015/84: LABO M 2122... | Packets: 775 * Displayed: 650 (83.996) * Load time: 0:00.027 | Profile: Default 


图 13-35 载 入 文件 后 的 状态 栏 


左 侧 显示 当前 捕捉 文件 信息 ,包括 名 称 、 大 小 、 捕 捉 持续 时 间 等 。 中 间 部 分 显示 捕捉 
包 的 数目 ,被 显示 包 的 数目 以 及 载 和 时间 。 最 右边 Profile 可 以 选择 不 同 的 外 形 , 如 
Classic, Bluetooth 等 ,如 图 13-36 所 示 。 


A 13-36 RAH Profile 界面 


13.4 捕捉 数据 包 


1341 捕捉 方法 介绍 


Wireshark 捕捉 引擎 具备 以 下 特点 ; 
支持 多 种 网 络 接口 的 捕捉 (以 太 网 、 令 牌 环 网 .ATM $). 
支持 多 种 机 制 触发 停止 捕捉 ,例如 捕 提 文件 的 大 小 、 捕 捉 持续 时 间 、 捕 捉 到 包 的 数 
量 , 捕 提 时 同时 显示 包 解码 详情 。 
设置 过 滤 , 减 少 捕捉 到 包 的 容量 。 
长 时 间 捕 提 时 ,可 以 设置 生成 多 个 文件 。 对 于 特别 长 时 间 的 捕捉 ,可 以 设置 捕 提 
文件 大 小 国 值 , 设 置 仅 保留 最 后 的 N 个 文件 等 手段 。 

可 以 使 用 以 下 任 一 方式 开始 捕捉 包 : 

(1) 单 击 图 打开 捕捉 接口 对 话 框 ,浏览 可 用 的 本 地 网 络 接 口 ,选择 需要 进行 捕捉 的 接 
口 启 动 捕 捉 。 

(2) 也 可 以 单 击 贺 (捕捉 选项 按钮 ) 打 开 捕 捉 选项 对 话 框 。 

(3) 如 果 前 次 捕 提 时 的 设置 和 现在 的 要 求 一 样 ,可 以 单 击 国 ( 开 始 捕 捉 按 钮 ) 或 者 选 
择 菜 单项 立即 开始 本 次 捕捉 。 
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(4) 如 果 已 经 知道 捕捉 接口 的 名 称 , 可 以 使 用 如 下 命令 从 命令 行 开始 捕捉 : 
wireshark - I eth0 -k 

1342 捕捉 接口 对 话 框 功能 介绍 
捕 提 接口 对 话 框 如 图 13-37 所 示 。 


站 本 地 连接 ReakekPCle FE Famiy Controler feB0::3de0:62e:7eed:235d — - 
p VMware Network Adapter VMnet8 VMware Virtual Ethemet Adapter fe80::fed0:5abd:591c9044 — - 


| pg VMware Network Adapter VMnet1 VMware Virtual Ethernet Adapter feB0::edee:b5db:86ce:da73 — - 
半天 二 网络 连接 Microsoft fe80::6d27:2964:efbc:b640 — - 


Start Stop 


图 13-37 ”捕捉 接口 对 话 框 


Device: 显示 可 供 选 择 的 设备 。 

Description: 相应 的 设备 描述 。 

IP; 设备 的 了 P 地 址 。 

Packets; 从 对 应 接口 捕捉 到 包 的 数量 ,如 果 一 直 没 有 接收 到 包 , 则 显示 “-”。 
Packets/s: 最 近 一 秒 捕 提 到 包 的 数目 ,如 果 没 有 捕捉 到 包 , 则 显示 *-”。 
Details: 显示 接口 的 更 多 细节 。 

Start, 勾 选 接口 之 后 ,就 可 以 单 击 该 按钮 开始 捕捉 包 。 

Stop: 停止 捕捉 包 。 

Options: 从 选择 的 接口 立即 开始 捕捉 包 , 使 用 最 后 一 次 的 捕捉 设置 。 
Close: 关闭 对 话 框 。 

Help: 显示 帮助 信息 。 


1343 捕捉 选项 对 话 框 功能 介绍 


1. 捕捉 选项 对 话 框 主 界面 
捕捉 选项 对 话 框 如 图 13-38 所 示 。 

2, Edit Interface Settings( 编 辑 接口 设置 ) 弹 出 区 域 设置 

e Interface: 在 图 13-38 所 示 的 捕捉 选项 对 话 框 中 选择 要 进行 捕捉 的 接口 ,双击 选 
中 的 接口 ,弹出 Edit Interface Settings 对 话 框 显示 详细 信息 ,如 图 13-39 所 示 。 

。 [P address: 表示 接口 的 I 地 址 。 

* Link-layer header type: 除非 有 些 特殊 应 用 ,保持 此 选项 的 默认 值 。 

* Capture packets in promiscuous mode: 指定 Wireshark 捕捉 包 时 设置 接口 为 杂 
收 模式 (也 译 为 混杂 模式 ), 如 果 未 指定 该 选项 , Wireshark 只 能 捕捉 进出 用 户 计 
算 机 的 数据 包 ,不 能 捕捉 整个 局 域 网 段 的 包 。 
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Link-layer header Prom. Mode Snaplen [B] Buffer [MB] Capture Fiter “ 


Ethernet enabled 262144 2 


IE] 


E Capture on all interfaces 
I| Use promiscuous mode on all interfaces 
z) || -] [Compile selected &Prs] 


Display Options 
[F] Update list of packets in real time 
(V Automatically scroll during live capture 
[F Hide capture info dialog 


E) Use multiple files 
回 Next file every B imegabyte(s) 


O Nert file every E [minute(s) * Name Resolution. 
口 Ring buffer with |2 日 fes (V. Resolve MAC addresses 


Stop Capture Automatically After... © Resolve network-layer names 
nh 8 mde n [1 E [megabyte [-] Rercivefanepctier eme 


[V] Use external network resolver. 
Of 8*9 B pee [- N nns 


( Hep [se | (ose. 


P address: | fe80:3deQ:62e:7eed:235d 
1722612066 

Link-ayer header type: Ethernet - 

[V] Capture packets in promiscuous mode 

Limit each packetto 262144 El bytes 

Buffer sze: 2 EDI 


(Capture Fiter: 
EUN 


图 13-39 接口 详细 信息 对 话 杠 


* Limit each packet to … bytes: 指定 捕捉 过 程 中 每 个 包 的 最 大 字 节 数 。 

。 Buffer size; 输入 用 于 捕捉 的 缓存 大 小 ,该 选项 是 设置 写 人 数据 到 磁盘 前 保留 在 
核心 缓存 中 的 捕捉 数据 的 大 小 。 

。 Capture Filter: 指定 捕捉 过 滤 。 

3. Options 主 界面 File 区 域 设置 

File; 指定 用 于 存储 捕捉 数据 的 文件 名 。 该 字段 默认 为 空白 ,如 果 保 持 空白 ,捕捉 数 

据 将 会 存储 在 临时 文件 夹 ,也 可 以 单 击 右 侧 的 Browse 按钮 来 浏览 文件 存储 位 置 。 
。 Use multiple files; 如 果 指定 条 件 达 到 临界 值 ,Wireshark 将 会 自动 生成 一 个 新 文件 。 
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* Use pcap-ng format: 指定 保存 文件 的 格式 为 pcap-ng。 

以 下 选项 仅 适 用 于 选中 Use multiple files 时 。 

* Next file every | megabyte(s) : 如 果 捕 捉 文件 容量 达到 指定 值 ,将 切换 到 新 文件 。 

。 Next file every _ minute(s); 如 果 捕捉 文件 持续 时 间 达 到 指定 值 , 将 切换 到 新 文件 。 

* Ring buffer with _ files; 生成 指定 数目 的 文件 。 

* Stop Capture Automatically After...: 当 生 成 指定 数目 文件 时 ,在 生成 下 一 个 文 
件 时 停止 捕捉 。 

名 packet (s) ; 在 捕捉 到 指定 数目 的 数据 包 后 停止 捕捉 。 
4 megabyte(s) ; 在 捕捉 到 指定 容量 的 数据 后 停止 捕捉 。 
名 file(s): 在 捕捉 到 指定 文件 数目 后 停止 捕捉 。 

名 minute(s): 在 达到 指定 时 间 后 停止 捕捉 。 

4. Options 主 界面 Display Options 区 域 设 置 

Display Options: 显示 帧 选项 。 

* Update list of packets in real time; 在 包 列 表面 板 实时 更 新 捕捉 数据 。 如 果 未 选 
中 该 选项 ,在 Wireshark 捕捉 结束 之 前 将 不 能 显示 数据 。 如 果 选 中 该 选项 ， 
Wireshark 将 生成 两 个 独立 的 进程 ,通过 捕捉 进程 传输 数据 给 显示 进程 。 

* Automatically scroll during live capture: 指定 Wireshark 在 有 数据 进入 时 实时 滚 
动 包 列表 面板 ,这 样 用 户 将 一 直 能 看 到 最 近 的 包 。 

* Hide capture info dialog: 选中 时 隐藏 捕捉 信息 对 话 框 。 

5. Options 主 界面 Name Resolution 区 域 设 置 

Name Resolution: 名 称 解析 设置 。 

* Resolve MAC addresses; Wireshark 会 尝试 将 MAC 地 址 解析 成 更 易 识 别 的 形式 。 

* Resolve network-layer names; Wireshark 会 尝试 将 网 络 层 地 址 解析 成 更 易 识别 

的 形式 。 

Resolve transport-layer name: Wireshark 会 尽 可 能 将 传输 层 地 址 解析 成 其 对 应 

的 应 用 层 服务 。 

Use external network name resolver: Wireshark 早期 版 本 中 没有 这 个 选项 及 其 

近似 选项 。 添 加 这 个 选项 的 初衷 应 该 是 配合 上 面 的 选项 Resolve network-layer 

names 使 用 。 我 们 知道 ,普通 的 DNS 查询 遵循 的 是 本 机 缓存 查询 hosts 文件 查 

询 、 外 部 查询 的 先后 顺序 ,如 果 前 两 项 内 部 查询 失败 ,就 会 用 到 外 部 查询 。 但 若是 

不 勾 选 这 个 选项 ,那么 Wireshark 在 解析 IP 地 址 对 应 的 主机 名 或 域名 的 时 候 ,就 

仅 使 用 内 部 查询 ,失败 时 不 再 尝试 外 部 查询 ,直接 返回 失败 的 结果 。 

1344 捕捉 过 滤 设 置 
在 Wireshark 捕捉 选项 对 话 框 中 的 Capture Filter 后 面 输入 捕捉 过 滤 字 段 ,可 以 只 捕 

提 感 兴趣 的 内 容 , 如 图 13-40 所 示 。 


捕捉 过 滤 的 形式 为 : 可 以 用 and 和 or 连接 基本 单元 ,还 可 以 用 高 优先 级 的 not 指定 
不 包括 其 后 的 基本 单元 。 
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|i EZ Use promiscuous mode on all interfaces 


| Coture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fil ^ 
pu mI 
E fs803de062e7eed235d Ethernet. enabled — 262144 2 
1722612066 
E 3 , 
中 Capture on all interfaces 


| [gepture fiter] (cp port 23 and host 10003 


[e]. [compie selected BpFs 


Capture Fies 


Fle: 


| Use multiple fles 


Display Options 
V] Update list of packets in real time 
(V) Automatically scroll during live capture 
V] Hide capture info dialog 


' C] Next file every |1 日 |megabytefs) 
C Next fle every |1 —— 8 = |minute(s) Name Resolution 
C Ring buffer with [2 E fes | Resolve MAC addresses 
Stop Capture Automaticaly After... E Resolve network-layer names 
h — Bé) Eb f £ [megabyte [~ 了 
n n [F] Use external network name resolver 
D» — 4H fie(s) i 18 minute(s) 
Hep (im ] 
| J 
图 13-40 ”输入 捕捉 过 滤 字 段 的 捕捉 选项 对 话 框 
以 下 是 捕捉 过 滤 的 一 些 例子 ， 


tcp port 23 ard host 10.0.0.5 


捕捉 来 自 或 指向 主机 10.0.0. 5 的 Telnet 通信 。 


tcp port 23 ard not src host 10.0.0.5 


捕捉 所 有 目的 地 址 不 是 10.0.0. 5 的 Telnet 通信 。 


以 下 是 常用 的 捕 提 过 滤 的 格式 ， 


[srcldst] host <host> 


此 基本 单元 允许 过 滤 主机 IP 地 址 或 名 称 。 可 以 优先 指定 src| dst 关键 词 来 指定 用 户 
关注 的 是 源 地 址 还 是 目标 地 址 。 如 果 未 指定 , 则 指定 的 地 址 出 现在 源 地 址 或 目标 地 址 中 


的 包 会 被 抓 取 。 


ether [src|dst] host < ehost> 


此 单元 允许 过 滤 主 机 以 太 网 地 址 。 可 以 在 关键 词 ether 和 host 之 间 优 先 指定 关键 词 
src] dst, 来 确定 用 户 关 注 的 是 源 地 址 还 是 目标 地 址 。 如 果 未 指定 , 则 指定 的 地 址 出 现在 


源 地 址 或 目标 地 址 中 的 包 会 被 抓 取 。 


gateway host« host> 


过 滤 通 过 指定 host 作为 网 关 的 包 。 这 是 指 那些 以 太 网 源 地 址 或 目标 地 址 是 host fH 


源 IP 地 址 和 目标 IP 地 址 都 不 是 host 的 包 。 
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[src| dst] net « net» [(mask < maso )| (len < ler» )] 


通过 网 络 号 进行 过 滤 。 可 以 选择 优先 指定 src| dst 来 确定 感 兴趣 的 是 源 网 络 还 是 目 
标 网 络 。 如 果 两 个 都 未 指定 , 则 指定 网 络 出 现在 源 和 目标 网 络 的 都 会 被 选择 。 另 外 ,可 以 
选择 子 网 掩 码 或 者 CIDR( 无 类 别 域 形式 ) 。 


[taqpludp] [srcldst] port « port] 


过 滤 TCP,UDP 及 端口 号 。 可 以 使 用 src| dst 和 tepl udp 关键 词 来 确定 来 自 源 还 是 
目标 以 及 是 TCP 协议 还 是 UDP 协议 。tcp|udp 必须 出 现在 src| dst 之 前 。 


less|greater < length» 

选择 长 度 符合 要 求 的 包 ( 小 于 等 于 或 大 于 等 于 ) 。 
iplether proto « protocol» 

选择 有 指定 的 协议 在 以 太 网 层 或 IP 层 的 包 。 
ether| ip broadcast | milticast 

选择 以 太 网 /IP 层 的 广播 或 多 播 。 
«expr» relop < expr> 


创建 一 个 复杂 过 滤 表 达 式 ,来 选择 包 的 字 节 或 字 节 范 围 符合 要 求 的 包 。 请 参考 


http://www. tcpdump. org/tcpdump_man. html, 


1345 开始 停止 重新 启动 捕捉 


完成 以 上 设置 之 后 ,可 以 单 击 Start 按钮 开始 捕捉 包 。 

捕捉 信息 对 话 框 如 图 13-41 所 示 。 

捕捉 信息 对 话 框 会 显示 不 同 通信 协议 捕捉 到 
的 包 的 数量 捕捉 持续 时 间 以 及 不 同 通信 协议 所 
占 的 比重 。 

这 个 对 话 框 可 以 设置 显示 或 者 隐藏 ,方法 是 
在 捕捉 选项 对 话 框 设 置 Hide capture info dialog 

可 以 使 用 以 下 方法 之 一 停止 捕捉 : 

OD 单 击 捕捉 信息 对 话 框 中 的 Stop 按钮 。 

(2) 选择 菜单 项 Capture/Stop。 

G) 单 击 工具 栏 中 的 砖 按钮。 

(4) 使 用 快捷 键 Ctrl 十 E。 

(5) 触发 了 设置 的 停止 捕捉 条 件 ,捕捉 会 自 
动 停止 。 

可 以 使 用 以 下 方法 之 一 重新 启动 捕捉 : 图 13-41 捕捉 信息 对 话 框 


oococcoccoccoNwucol 


DO 


00:00:05 


| 


f 
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(1) 选择 菜单 栏 项 Capture/Restart。 
D 单 击 工具 栏 中 的 按钮 。 


13.5 处理 已 经 捕捉 的 包 


1351 查看 包 详情 


在 捕捉 完成 之 后 ,或 者 在 打开 先前 保存 的 包 文件 时 ,通过 单 击 包 列 表面 板 中 的 包 , 可 
以 在 包 详情 面板 看 到 关于 这 个 包 的 树 状 结构 以 及 字 节 面板 。 

单 击 左 侧 的 十 标记 可 以 展开 树 状 视图 的 任意 部 分 ,如 图 13-42 所 示 。 
T = 


|| Ee Edt vew Go Capture Anaie statues Telephony Toos Intemas Heb | 
|leesamasio^xe«eveozalB(SaaangEbTxu 


Fiter | [r] pression.. Clear Apply Save Fiter Fiter | 
No. Info. aji 
94 443-49476 [FIN, ACK] Seq=1 Aci™| 
H 94 [TCP out-of-order] 443-49476 | 
X 2002:72d4:8186: :72d 2404 : 6800:4005: 804 : TCP 94 49476-443 [ACK] Seq=1 Ack=2 wW 
| 4 0.000190  2002:72d4:8186::7202404:6800:4005:804: TCP 94 [TCP Dup ACK 341] 49476-443 [/ 
50.071390 114.212.135.198 114.212.143.255 — NBNS 92 Name query NB WPAD<00> 
60.071390 114.212.135.198 114.212.143.255 NBNS 92 Name query NB WPAD<00> 
| 7 0.073400 114.212.130.152 114.212.143.255  NBNS 92 Name query NB WPAD<00> 
80.073400 114.212.130.152 — 114.212.143.255 NBNS 92 Name query NB WPAD<00> 
90.086724 114.212.130.225 114.212.143.255  NBNS 92 Name query NB WPAD<00> 
10 0.086724 NBNS 92 Name query NB WPAD<00> 
11 0.369149 e 站 . NBNS 110 Registration NB LENOVO-PC<20> E 
openan sse masoner — sse sasan nee NN gode 
& HP-UX Network Tracing and Logging (nett 
& Ethernet II, Src: Azurewav_bc:85:ef (6c:71:d9:| ief), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
E Internet Protocol version 4, Src: 114.212. (114.212.130.225), Dst: 114.212.143.255 (114.2 


version: 4 
Header Length: 20 bytes 
Gi Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable T | 


Total Lennrh，7R 


, 


9) | Fame (fame), 92 bytes Packets: 1550 : Dplyed: 1550 (100.0%)  Terofie: Defauk 
图 13-42 捕捉 包 主 界面 
另外 ,可 以 使 用 分 离 的 窗口 浏览 单独 的 数据 包 。 操 作 是 : 选中 某 个 数据 包 , 选 择 


View/Show Packet in New Window 菜单 项 ,或 者 直接 右 击 数 据 包 ,选择 Show Packet in 
New Window 菜单 项 ,这 样 就 可 以 很 容易 地 比较 两 个 或 多 个 包 , 如 图 13-43 所 示 。 


: : :85:ef), Dst: Broadcast (ff:ff:ff:ff:ff: 
nternet Protocol version 4, z 225 (114.212.130.225), Dst: 114.212.143.25' 
versinn: 4 


图 13-43 单独 浏览 数据 包 
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包 列表 面板 的 弹出 菜单 如 图 13-44 所 示 。 


He Edt Vew Go Capture Amaze States Telephony Toos Intemas Heb 


mae 


eoe4madBoxXQGAe9oTAE 


QQQD gE*TEG 
[z] bresion-. lear sppy save Fiter Fiter 


| 
No. 


4 0.000190 
5 0.071390 
6 0.071390 
7 0.073400 
8 0.073400 
9 0.086724 
10 0.086724 
11 0.369149 


2002:72d4:8186::72d2404:6  lgnore Packet (toggle) 
114.212.135.198 
114.212.135.198 
114.212.130.152 
114.212.130.152 
114.212.130.225 
114.212.130.225 
114.212.130.152 


Info 
94 443-49476 [FIN, ACK] Sei 
im^ Out-of-Order] 4. 


6-443 [ACK] Seq-l Ac 
P Dup ACK 341] 49476-443 [; 
query NB WPAD<00> 
E query NB WPAD<00> 
query NB WPAD<00> 
query NB WPAD<00> 
query NB WPAD<00> 
query NB WPAD<00> 
stration NB LENOVO-PC-20» „ 


114.21 (9 Set Time Reference (toggle) 


114.21 © Time Sht... 
114.21 


Frame 2: 94 bytes on wire (752 bits), 94 
8 HP-UX Network Tracing and Logging (nettl 
Æ Ethernet II, Src: HuaweiTe b2:c0:b4 (ac: 
E Internet Protocol version 4, Src: 192.88. 


Version: 4 
Header Length: 20 


bytes Folow UDP Stream 
& Differentiated Services Field: 0x00 (| 


Folow SSL Stream Ot-ECT (Not ECN-Capable 


Copy 


Protocol Preferences. 


图 13-44 包 列表 面板 的 弹出 菜单 


表 13-3 列 出 了 该 面板 弹出 菜单 项 的 功能 描述 。 


R133 包 列表 面板 菜单 功能 


菜单 项 Ho g 
Mark Packet toggle) 标记 /取消 标记 包 
Ignore Packet(toggle) 忽略 /取消 忽略 包 
Set Time Reference(toggle) | 设置 / 重 设 时 间 参 考 
Time Shift 配置 数据 帧 的 时 间 偏 移 , 将 打开 时 间 偏 移 配置 对 话 框 
Edit Packet 编辑 数据 包 
Packet Comment 编辑 数据 包 注释 ,将 打开 数据 包 注 释 对 话 框 
Manually Resolve Address | 手动 解析 地 址 
Apply as Filter 用 当前 选中 的 项 作为 过 滤 显 示 
Prepare a Filter 准备 将 当前 选中 的 项 作为 过 滤器 


Conversation Filter 


将 当前 选择 项 的 地 址 信息 作为 过 滤 设 置 。 选 中 该 选项 以 后 ,会 生成 一 
个 显示 过 滤 , 用 于 显示 当前 包 两 个 地 址 之 间 的 会 话 (不 分 源 地 址 和 目标 
地 址 ) 


Colorize Conversation 


设置 特定 会 话 中 数据 帧 的 配色 方案 以 方便 分 析 


SCTP 


数据 流 控 制 传输 协议 (SCTP) 的 数据 


/由 网 站 漏洞 扫描 与 渗透 攻击 工具 揭 黎 
续 表 
菜单 项 Hox 
Follow TCP Stream 浏览 两 个 节点 间 的 一 个 完整 TCP 流 的 所 有 数据 


Follow UDP Stream 


浏览 两 个 节点 间 的 一 个 完整 UDP 流 的 所 有 数据 


Follow SSL Stream 


浏览 两 个 节点 间 的 一 个 完整 SSL 流 的 所 有 数据 


Copy 复制 功能 

Protocol Preferences 设置 协议 偏好 

Decode As 在 两 个 解析 之 间 建 立 或 修改 新 关联 
Print 打印 包 

Show Packet in New Window | 在 新 窗口 显示 选中 的 包 


包 详 情 面板 的 弹出 菜单 如 图 13-45 所 示 。 


| M Untitled) [Wireshark 1.124 (v1.12.4-0-gb4861da from master- 


| Gre Ae Sut 。 Erpand Subtrees 
| Colapse Subtrees - 
OMA YS Expand Al avax B 
Filter: " Save Filter Filter 
L as Coum — " 
No. — Time Source. aa 
50.071390 114.212.135.198 Apply as Fiter > |query NB wPAD<00> 
RN 071300 114 212 135 10& Prepare a Fiter » [nnerv NR wpancnn> 
J | — Colorze wth Fiter , A 
Frame 26: 92 bytes on wire (736 bit 。 Folow TO Stream 
€ HP-UX Network Tracing and Logging Ú Folow UDP stream 
& Ethernet II, Src: LiteonTe c9:39: Folow SSL Stream (ff :ff:ff:ff:ff:ff) 
© Internet Protocol version 4, Src: : 114.212.143.255 (114.2 
version: 4 Copy » 
Header Length: 20 bytes Export Selected Packet Bytes... 
@ Differentiated services Field: OX Edk packet -ECT (Not ECN-Capable T| 
Total Length: 78 
Identification: Ox316b (12651) | WkiProtocolPage 
B Flags: 0x00 Ô Fiter Feld Reference 
Fragment offset: 0 
Tine to live: 64 [EXE] 
Protocol: UDP (17) Eee d 
@ Header checksum: Ox4bc6 [validati A. 
Source: 114.212.135.198 14.212. 9 Decode M 
Destination: 114.212.143.255 (114 % Dable Protocol.. 
[Source GeoIP: Unknown] Resolve Name 
[Destination GeoIP: Unknown] Go to Corresponding Packet 


5 User Datagram Protocol, src Port: 1 
Source Port: 137 (137) 


Show Packet Reference in New Window 


08 00 45 
00 87 c6 72 
00 7 01 10 00 
0030 00 00 00 00 20 46 48 46 41 45 42 45 45 43 — ...... F HFAEBEEC 
0040 41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 43 — ACACACAC ACACACAC 
0050 41 43 41 43 41 41 41 00 00 20 00 01 ACACAMA. . .. 


|@ È | source Port (udp.srcport), 2 bytes 


| Packets: 1550 * Displayed: 12 (0.896) Profie: Default 


图 13-45 包 详 情 面 板 的 弹出 菜单 


包 详情 面板 菜单 中 的 各 个 功能 如 表 13-4 所 示 。 


菜单 项 


表 13-4 包 详情 面板 菜单 功能 


Hs x 
Expand Subtrees 展开 当前 选择 的 子 树 
Collapse Subtrees 关闭 当前 选择 的 子 树 
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续 表 
菜单 项 Hos x 
Expand AII 展开 捕捉 文件 的 所 有 包 的 所 有 子 树 
Collapse All 关闭 捕捉 文件 的 所 有 包 的 所 有 子 树 
Apply as Column 把 选中 的 选项 加 入 包 列 表 中 
Apply as Filter 将 当前 选择 项 作为 过 滤 内 容 并 应 用 
Prepare a Filter 将 当前 选择 项 作为 过 滤 内 容 , 但 不 立即 应 用 
Colorize with Filter 根据 过 滤 着 色 
Follow TCP Stream 追踪 两 个 节点 间 被 选择 的 包 所 属 TCP 流 的 完整 数据 
Follow UDP Stream 追踪 两 个 节点 间 被 选择 的 包 所 属 UDP 流 的 完整 数据 
Follow SSL Stream 追踪 两 个 节点 间 被 选择 的 包 所 属 SSL 流 的 完整 数据 
Copy 复制 操作 
Export Selected Packet Bytes 导出 raw packet 字 节 为 二 进 制 文件 
Edit Packet 编辑 包 
Wiki Protocol Page 显示 当前 选择 协议 的 对 应 Wiki 网 站 协议 参考 页 
Filter Field Reference 显示 当前 过 滤器 的 Web 参考 
Protocol Help 协议 帮助 信息 
Protocol Preferences 如 果 协 议 字段 被 选中 , 单 击 该 选项 打开 属性 对 话 框 ,选择 对 应 协议 
的 页 面 
Decode As 更 改 或 应 用 两 个 解析 器 之 间 的 关联 
Disable Protocol 使 选择 的 选项 在 包 列 表 中 无 效 
Resolve Name 对 选择 包 进 行 名 称 解 析 
Go to Corresponding Packet 跳 到 当前 选择 包 的 相应 包 
seis Reference in New 在 新 的 窗口 展示 数据 包 


1352 浏览 时 过 滤 包 


Wireshark 有 两 种 过 滤 语 法 : 一 种 是 捕捉 包 时 使 用 的 , 另 一 种 是 显示 包 时 使 用 的 。 

显示 过 滤 可 以 隐藏 一 些 不 感 兴趣 的 包 , 让 用 户 可 以 集中 注意 力 在 感 兴趣 的 那些 包 上 
面 。 可 以 用 以 下 几 个 方面 选择 包 : 协议 . 预 设 字段 .字段 值 .字段 值 比较 等 。 

根据 协议 类 型 选择 数据 报 ,只 需要 在 Filter 框 里 输入 感 兴趣 的 协议 ,然后 回 车 开始 过 
滤 , 如 图 13-46 所 示 。 


1353 建立 显示 过 滤 表 达 式 


Wireshark 提供 了 简单 而 强大 的 过 滤 语 法 ,可 以 用 来 建立 复杂 的 过 滤 表 达 式 。 过 滤 
比较 操作 符 可 以 比较 包 中 的 值 ,组 合 操 作 符 可 以 将 多 个 表达 式 组 合 起 来 。 


/ 


Vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


[eesmad se xs ae+oFTl 国 aaa | 


Statistics Telephony Took Intemaks 


[z] Expression Clear Apply Save Fiter Fiter 


[Time Source 
10. 

2 0.000000 
3 0.000190 
4 0.000190 
17 0. 500572 


6800:4005 :804 : 2002: 


Destination Protocol Length Info «| 
'2dTCP 94 443-49476 [FIN, ACK] Seq=1 AcK—]| 
2dTCP 94 [TCP out-of-order] 443-49476 | 
TCP 94 49476-443 [ACK] Seq-1 Ack-2 Wi 
TCP 94 [TCP Dup ACK 341] 49476-443 [/ 
TCP 94 49205-443 [FIN, ACK] Si Ach 
94 [TEP out-of-order] 49205- 


5800:4005:804: 2002: 


= 


29 1.151680 94 [TCP Spurious Retransmission] 
30 1.151680 94 [TCP Spurious Retransmission] 
31 1.151754 94 [TCP zerowindow] 49476-443 [AC 
32 1.151754 : :6800:4005:804: 94 [TCP Zerowindow] 49476-443 [AC 
51 1.618825 114.212.129.134 42.99.128.137 TCP 74 49484-80 [SYN] Seq-0 Win=8192 
52 1.618825 114.212.129.134 — 42.99.128.137 TCP 74 [TCP out-of-order] 49484-80 [: 
53 1.689907 42.99.128.137 114.212.129.134 TCP 74 80-49484 [SYN, ACK] Seq=0 Ack- 
54 1.689907 42.99.128.137 114.212.129.134 TCP 74 [TcP out-of-order] 80-49484 [: 
55 1.690015 114.212.129.134 42.99.128.137 TCP 66 49484-80 [ACK] Seq=1 Ackel wir 
56 1.690015 114.212.129.134 42.99.128.137 TCP 66 [TCP Dup ACK 55#1] 49484-80 [/ | 
571 RQMRS 114 71? 120 134 47 QQ 1208 137 HTTD 344 GET. /nki/crl/nrodurre /Mirwink: 7 

« , 

$ Frame 18: 94 bytes on wire (752 bits), 94 bytes captured (752 bits) n 


& HP-UX Network Tracing and Logging (nettl) header 
Ethernet II, Src: HonHaiPr a2: 
E Internet Protocol version 4, Sı 


(c0:18:85:a2:61:a3), DSt: HuaweiTe b2. b4 (ac:85:3d:b2 
114.212.129.134 (114.212.129.134), Dst: 192.88.99.1 (192.88.99 


图 13-46 ”过滤 包 示例 


过 滤 比 较 操作 符 如 表 13-5 所 示 。 


表 13-5 过 滤 比 较 操 作 符 


英文 名 称 | 语言 操作 符 描述 及 示例 英文 名 称 | 语言 操作 符 描述 及 示例 
» = 等 于 A < TAM 
" ip. addr— —10. 0. 0. 5 frame. pkt_len<10 
不 等 于 s 大 于 或 等 于 
d i ip. addr! —10. 0. 0. 5 i frame. pkt len —10 
XT “| 小 于 或 等 于 
E E frame. pkt_len>10 le Dg frame. pkt_len<=10 


组 合 操作 符 如 表 13-6 所 示 。 


表 13-6 组 合 操作 符 
英文 名 称 | C 语 言 操作 符 Hs x 
and && 逻辑 与 
or | 逻辑 或 
xor 逻辑 异 或 
not ! ZHE 
g WireShark 允许 选择 一 个 序列 的 子 序 列 。 在 标签 后 可 以 加 上 一 对 方 括 
号 口 ,在 里 面包 含 用 冒号 分 隔 的 列表 范围 
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1354 定义 /保存 过 滤器 


可 以 定义 过 滤器 ,并 给 它们 加 上 标记 以 便 以 后 使 用 。 这 样 可 以 省 去 回忆 和 重新 输入 
某 些 曾 用 过 的 复杂 过 滤器 的 时 间 。 

定义 新 的 过 滤器 或 修改 已 经 存在 的 过 滤器 有 两 种 方法 : 

(1) 在 Capture 菜单 选择 Capture Filters 命令 。 

(2) 在 Analyze 菜单 选择 Display Filters 命令 。 

Wireshark 将 会 弹出 图 13-47 所 示 的 对 话 框 。 


M Wireshark: Capture Filter - Profile: Default. 
Edit: y Capture Fiter- 

No ARP 

IP only 

IP address 192.168.0.1 

IPX only 

TCP only 

UDP only 

TCP or UDP port 80 (HTTP) 
HTTP TCP port (80) 

No ARP and no DNS 
Non-HTTP and non-SMTP to/from www.wireshark.org = 


Fiter name: IP only 
Fiter string: ip 


Ex RE 


图 13-47 捕捉 过 滤器 对 话 框 


New: 增加 一 个 新 的 过 滤器 到 列表 中 。 当 前 输入 的 Filter name 和 Filter string 值 
将 会 被 使 用 。 如 果 这 些 都 为 空 ,Filter name 和 Filter string 将 会 被 设置 为 new。 
Delete; 删除 选中 的 过 滤器 。 

Filter name: 修改 选中 的 过 滤器 名 称 。 

Filter string: 修改 选中 的 过 滤器 内 容 , 在 输入 时 进行 语法 检查 。 


1355 查找 包 对 话 杠 
在 Edit 菜单 选择 Find Packet 命令 ,将 Find 


出 现 查找 包 对 话 框 ,如 图 13-48 BR or Doi Ster © Herne © suing 
首先 需要 选择 查找 方式 ， mL 
1g Options- ‘Direction— 
(1) Display filter: 在 Filter 文本 框 中 @ Packetlist — || [7] Case sensitive. © Up 


Character width: 
Narrow & wide 


Packet details. 


输入 字段 ,选择 查找 方向 ,然后 单 击 Find Packet bytes 


按钮 。 bie Bind | (cancel 
(2) Hex value: 在 包 数 据 中 搜索 指定 = 


Sm/ vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


(3) String: 在 包 中 查找 字符 串 , 可 以 指定 多 种 参数 。 

Wireshark 对 输入 的 查找 值 将 进行 语法 检查 ,如果 语法 无 误 , 输 入 框 背 景色 会 变 为 绿 
色 , 否 则 为 红色 。 

可 以 指定 查找 的 方向 如 下 : 

A) Up: 向 上 查找 包 列表 。 

(2) Down: 向 下 查找 包 列 表 。 


1356 跳 转 到 指定 包 


通过 Go 菜单 可 以 很 轻松 地 跳 转 到 指定 的 包 。 

(1) 使 用 Back 返回 包 的 前 一 个 历史 记录 。 

(2) 使 用 Forward 前 进 到 包 的 下 一 个 历史 记录 。 

(3) Go To Packet; 跳 转 到 到 指定 包 ,如 图 13-49 
所 示 。 

在 对 话 框 中 输入 包 的 编号 , 单 击 Jump to 按钮 跳 。 图 13-49 跳 转 指定 包 对 话 杠 
转 到 指定 的 包 。 


1357 合并 捕捉 文件 


有 时 需要 将 多 个 捕捉 文件 合并 到 一 起 。 例 如 ,如 果 对 多 个 接口 同时 进行 捕捉 ,合并 就 
非常 有 用 (Wireshark 实际 上 不 能 在 同一 个 实体 运行 多 次 捕捉 ,需要 开启 多 个 Wireshark 
实体 )。 

有 3 种 方法 可 以 合并 捕捉 文件 : 

(1) 从 File 菜单 选择 Merge 命令 ,打开 合并 对 话 框 。 

(2) 使 用 拖 放 功能 ,将 多 个 文件 拖 放 到 主 窗口 。Wireshark 会 创建 一 个 临时 文件 尝试 
对 拖 放 的 文件 按时 间 顺 序 进行 合并 。 如 果 只 拖 放 一 个 文件 , Wireshark 可 能 只 是 简单 地 
替换 已 经 打开 的 文件 。 

(3) 使 用 Mergecap 工具 。 该 命令 是 在 命令 行进 行文 件 合并 的 , 它 提供 了 合并 文件 的 
丰富 的 选项 设置 。 


M Wireshark: Go To Packet 


Packet number: | | 
(see )[ mete )[ comee! | 


13.6 文件 输入 输出 


1361 打开 捕捉 文件 


Wireshark 可 以 读 取 以 前 保存 的 文件 。 想 读 取 这 些 文件 ,只 需 选 择 菜单 File>Open 
或 单 击 工具 栏 的 打开 按钮 , Wireshark 将 弹出 打开 文件 对 话 框 。 

在 载 人 新 文件 时 ,如 果 没 有 保存 当前 文件 , Wireshark 会 提示 是 否 保 存 ,以 避免 数据 
丢失 (可 以 在 首选 项 禁止 提示 保存 ) 。 


1362 输入 文件 格式 
Wireshark 可 以 打开 的 捕捉 文件 格式 如 下 : 
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libpcap、tcpdump 和 各 种 其 他 工具 所 采用 的 tepdump 捕捉 文件 格式 。 
Sun snoop 和 atmsnoop. 

Shomiti/Finisar Surveyor 捕捉 文件 。 

Novell LANalyzer 捕捉 文件 。 

Microsoft Network Monitor 捕捉 文件 。 

AIX 的 iptrace 捕 提 文件 。 

Cinco Networks NetXray 捕捉 文件 。 

Network Associates 基于 Windows 的 Sniffer and Sniffer Pro 捕捉 文件 。 
Network General/Network Associates 基于 DOS 的 Sniffer( 压 缩 的 或 解压 缩 的 ) 
捕捉 文件 。 

AG Group/ WildPackets EtherPeek/TokenPeek /AiroPeek/EtherHelp/PacketGrabber 
捕捉 文件 。 

RADCOM 的 WAN/LAN Analyzer 捕捉 文件 。 

Network Instruments Observer V9 捕捉 文件 。 

Lucent/ Ascend 路 由 器 调试 输出 。 

HP-UX 的 nettl。 

Toshiba 的 ISDN 路 由 器 转 储 输出 。 

ISDN4BSD i4btrace 实用 工具 。 

来 自 EyeSDN USB S0 的 跟踪 文件 。 

来 自 Cisco Secure Intrusion Detection System 的 IPLog 格式 。 

pppd 日 志 (pppdump 格式 ) 。 

XH VMS 的 TCPIPtrace/TCPtrace/UCX $ TRACE 实用 工具 的 输出 。 
来 自 DBS Etherwatch VMS 实用 工具 的 文本 输出 。 

Visual Network 的 Visual UpTime traffic 捕捉 文件 。 

来 自 CoSine L2 调试 的 输出 。 

来 自 Accellent 的 5Views LAN 代理 的 输出 。 

Endace Measurement Systems 的 ERF 格式 的 捕捉 文件 。 

Linux Bluez Bluetooth stack hcidump -w 跟踪 文件 。 

Catapult DCT2000 . out 文件。 


1363 保存 捕捉 包 
可 以 通过 File>Save As 菜单 保存 捕捉 文件 ,在 保存 的 时 候 可 以 选择 保存 格式 。 
1364 输出 格式 


Wireshark 可 以 保存 为 如 下 格式 : 
* libpcap. tcpdump 和 各 种 其 他 工具 所 采用 的 tcpdump 捕捉 文件 格式 ( x*. pcap， 


*. cap, *.dmp), 


* Accellent 5Views ( *.5vw), 


Sm/ vb 网 站 漏洞 扫描 与 渗透 攻击 工具 揭秘 


HP-UX 的 nettl ( *. TRCO, * . TRC1). 


Microsoft Network Monitor NetMon( * . cap) 。 


基于 DOS 的 Network Associates Sniffer( * . cap. * . enc, * . tre, *. fdc, * . syc)。 
基于 Windows 的 Network Associates Sniffer( * . cap). 

Network Instruments Observer V9( * , bfr), 

Novell LANalyzer ( * .trl) 。 

Sun snoop ( * . snoop, * . cap). 


Visual Networks Visual UpTime 流量 捕捉 文件 (* . x ) 。 


13.7 Wireshark 应 用 实例 


Wireshark 具有 多 种 功能 ,例如 ,网 络 管理 员 用 来 解决 网 络 问题 ,网 络 安全 工程 师 用 
来 检测 安全 隐患 ,开发 人 员 用 来 测试 协议 执行 情况 ,等 等 。 接 下 来 通过 讲解 一 个 简单 的 应 
用 实例 来 看 看 Wireshark 是 如 何 用 来 检测 安全 隐患 的 。 

(1) 打 开 Wireshark。 选 择 本 机 使 用 的 网 卡 , 如 图 13-50 所 示 。 


Device. Description. P Packets Packets's 
[Ej im seem. Quakcmm Atheros ArBLo series PCHE Ethemat Controler  fe80::b934:0654:439151 - — - [Retail 


E E ERER — Mos. fa80:1d23:c61f6dd9-5f8c -~ 
由 Buetooth BIB Microsoft fe80::34ac:32bf:c337:842d ~ 


Fem 
Ey 

| 

192.168.31.185 = = esi 
-pe 

[se ] 


fe80:f4c6fb4e:e3c8:6d8b — - 
| Bep Se | stop  |( gione 
— 
图 13-50 选择 网 卡 


(2) 在 浏览 器 中 输入 待 测试 网 址 : http://demo. testfire. net/bank/login. aspx, 这 里 
检测 登录 是 否 存在 安全 隐患 ,在 登录 框 中 输入 用 户 名 和 密码 ,没有 账号 ,输入 错误 数据 也 
可 以 。 输 入 后 单 击 Login 按钮 ,如 图 13-51 所 示 。 


J P) Aoro Mutua Onine & x 


Sian In | Contact Us | Faechact | Search 


AltoroMutual » 全 到 山村 i 


à ONLINEBANKING LOCIN | PERSONAL. SMALL BUSINESS. [ insine atoro MuTUAL 


€ > C (Q demotestfirenet/bank/loginaspx AH 
[m] 


PERSONAL Online Banking Login 


图 13-51 通过 浏览 器 访问 被 测试 网 站 
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(3) 单 击 Stop 按钮 停止 抓 包 。 接 下 来 就 可 以 到 Wireshark 抓 包 的 数据 中 查看 ,如 
图 13-52 所 示 。 


FÉ TERASE Wireshark 1125 ML1250-g5819esb from master-L121] [ES 


€eimtiBnx24eeezs[EBaaamuawmmx 3 | 
Fiter z| Bpresson Cesr Apply Save 


y OxaSfO A waw, googl 


5 0. 41175000 192.168. 31.185 192.. 
6 0. 41668500 192.168. 31.1 19. 


68 standard query Ox3fe7 A v2ex.com 
ONS 100 standard query response Oxife7 A 180,96.7] 


7 2. 26724400 fe80. pHCPv6 — 147 solicit XID: Ox7f2ff2 CIO: 000100011c16193( 

8 2. 63622400183. E HTTP — 203 HTTP/1.1 200 Ok (text/html) 

9 2. 63628500183. 19. Te 54 80-51321 [FIN, ACK] Seq=150 Ack=1 win=8142 

0 2. 63631800 192. 183. vcr 54 51321-80 [ACK] Seqel Ack=151 Win=64651 Len- 

[1 2. 63708800192. 183. 54 51321-80 [FIN, ACK] Seqel Ack=151 win-5465 
2. 67592100 183. 54 8051321 [ACK] Seq=151 Ack=2 Win=8142 Lene 


. 53797600 192. 66 51328-80 [SYN] Seq=0 win-6192 Len-O M55=14( 
192.168.31.185 TCP 66 80-51328 [SYN, ACK] Seq-O Ack=1 Win=5760 Le 
a i 183.232.95.181 TCP 54 51328-80 [ACK] Seq=1 Ack=1 Win-66240 Len=0 
18 3. 59526100 192. HTTP 1410 GET /po113r=0.43589565553702414&u=51110302( 
19 3, 63269000 183. TcP 54 80-51328 [ACK] Seqel Ack=1357 win-8704 Len- 
66000400 120. 121 orco Protocol z 

, 


Frame 1: 76 bytes on wire (608 bits), 76 bytes captured (608 bits) on interface D 
& Ethernet II, Src: Intelcor f2:bd:9f (: 9f), Dst: XiaomiEl 12:b8:4d (64: 
E Internet Protocol version 4, Sre: 192.168.31.185 (192.168.31.185), Dst: 192.168.31.1 (192.168.31.1) 
i user Datagram Protocol, SPC Port: 49445 (49445), DSt Port: 53 (33) 

Donain Name Systen (query) 


8 
00 
00 
[0030 0o 00 co 00 00 
0040 65 02 63 6f 02 


图 13-52 查看 数据 


(4) 现在 的 数据 很 多 ,可 以 通过 Filter 过 滤 出 想 看 的 数据 ,由 于 这 个 网 站 用 的 是 
HTTP 协议 ,在 Filter 中 输入 http, 单 击 Apply 项 ,如 图 13-53 所 示 。 


"TAFSIR [Wireshark 1.125 (vL125.04 rom master-1- 
RE 


eosmidlaBocwagaeeoTa laaan antsia 
http Expression.. Clear Apply Save | 
No. — Time Source Destination Protocol Length Info || 
18 3. 59526100 192.158. 31. 185 183.232. 95.181 HTTP. 1410 GET /poll?r-0.43589565553702414&u-5] 
23 4. 90285200 192.168. 31.185 65. 61.137.117 HTTP. 722 POST /bark/login.aspx HTT?/1.1 ( 
一 
3 Frame 203 bytes on wire (1624 bits), 203 bytes captured (1624 bits) on interface 0 


Ethernet II, Src: Xiaomitl 12:b8:4d (64:09:80:12:b8:4d), Dst: IntelCor f2:bd:9f (84:a6:c8:f2:bd:9f) 

习 Internet Protocol Version 4, Src: 183.232.95.181 (183.232.95.181), DSt: 192.168.31.185 (192.168.31.185) 
9) Transmission Control Protocol, Src Port: 80 (80), Dst Port: 51321 (51321), Seq: 1, Ack: 1, Len: 149 

a 

a Line-based text data: text/html 


D030 1f te ce de 00 00 48 $4 54 30 28 30 2e 31 20 32 
0040 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 54 


nnen 3n IN Es 3. 36 3a ss 39 74 3f ce 73 ed er Sh IN 


(OW Fie: "C\UsersiloiAopDataiLocaNTemo\wi... | Packets: 43 Displayed: 4[93*) - Diopped: 0 (0.0) Pre Defaut 


图 13-53 ”过滤 后 的 数据 
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(5) 此 时 的 数据 就 很 容易 查看 了 。 登 录 操作 向 /bank/login. aspx 地 址 发 出 POST 请 
求 。 单 击 POST 那 条 数据 查看 一 下 ,如 图 13-54 所 示 。 


ZU3-FITP71-I-ZUU UK ÁTeXt7TUNT] 


Ogin.aspx HTTP/1.1 (api 


s), 722 m Trel (5776 bits) on interface 0 
: XiaomiEl 12:b8:4d (64:09:80:12:b8:4d) 
B d ud 368. vd 185), Dst: 65.61.137.117 ces; s En EDD 
一 一 Control Protocol, Src Port: 51324 (51324), Dst Port: 80 (80), Seq: 1, Ack: 


G Form item: " 
B Form item: " 


图 13-54 ”分析 数据 


可 以 看 到 登录 的 密码 框 使 用 的 是 明文 ,证 明 这 个 网 站 的 登录 是 存在 安全 隐患 的 。 
这 只 是 使 用 Wireshark 的 一 个 小 实例 , Wireshark 还 有 很 多 强大 的 功能 需要 读者 自 
己 逐 渐 探 索 。 


13.8 本 章 小 结 


Wireshark 是 一 个 网 络 封包 分 析 软 件 ,支持 Windows 和 UNIX 平台 。 网 络 封包 分 析 
软件 的 功能 是 获取 网 络 封包 ,并 尽 可 能 详细 地 显示 网 络 封包 的 信息 。 可 以 用 来 分 析 和 服 
务 器 之 间 的 网 络 通信 协议 ,以 检测 网 络 情况 。 

本 章 主 要 介绍 了 Wireshark 的 安装 方法 .界面 .数据 包 捕捉 以 及 数据 包 处 理 等 。 

读者 在 读 完 本 章 之 后 ,可 以 参照 13.7 节 的 应 用 实例 ,在 实际 场景 中 使 用 Wireshark， 
不 仅 可 以 熟悉 工具 的 使 用 方法 ,更 能 够 增强 动手 能 力 。 当 然 , 读 者 也 可 以 研究 Wireshark 
的 其 他 功能 。 

Wireshark 工具 能 够 帮助 网 络 管理 员 检 查 网 络 问题 ,以 便 找 到 安全 隐患 的 根源 。 我 
们 不 仅 要 学 会 使 用 安全 工具 来 检查 问题 ,更 重要 的 是 了 解 这 些 安全 问题 的 本 质 , 在 开发 过 


程 中 加 以 注意 。 
B 考题 
1. MÆ Wireshark 的 特点 和 功能 。 


2. 尝试 使 用 Wireshark 工具 进行 抓 包 和 分 析 。 


第 um 


E 


攻击 Web 应 用 程序 集成 平台 Bup Suite 


14.1 Burp Suite 简介 


Burp Suite 是 用 于 攻击 Web 应 用 程序 的 集成 平台 , 它 包 含 了 许多 工具 。 从 最 初 的 应 
用 攻击 面 (attack surface) 分 析 到 寻找 并 挖掘 漏洞 ,这 些 工具 都 无 颖 结合 ,给 整个 测试 过 程 
提供 了 强大 的 支持 。 

图 14-1 是 Burp Suite 的 主 窗口 界面 。 
CE ames n ca 2 


Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Optons | Arens | 


No proxy listeners are currently running - go to the Options tab to enable a listener 


Foward oo o Comment tms em 器 [2 
Mni ee 
D 5| 


JABA oras 
图 14-1 主 窗口 


(D Proxy: 是 一 个 拦截 HTTP/HTTPS 的 代理 服务 器 ,作为 一 个 在 浏览 器 和 目标 应 
用 程序 之 间 的 中 间 人 ,人 允许 用 户 拦 截 . 查 看 ,修改 在 两 个 方向 上 的 原始 数据 流 。 

(2) Spider: 是 一 个 应 用 智能 感应 的 网 络 疏 虫 , 它 能 完整 地 枚 举 应 用 程序 的 内 容 和 
功能 。 

(3) Scanner: 是 一 个 高 级 工具 ,能 自动 发 现 Web 应 用 程序 的 安全 漏洞 。 

(4) Intruder: 是 一 个 定制 的 高 度 可 配置 的 工具 ,对 Web 应 用 程序 进行 自动 化 攻击 ， 
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例如 , 枚 举 标 识 符 ,收集 有 用 的 数据 ,以 及 使 用 fuzzing 技术 探测 常规 漏洞 。 

(5) Repeater: 是 一 个 靠 手动 操作 来 补 发 单独 的 HTTP 请 求 ,并 分 析 应 用 程序 响应 
的 工具 。 

(6) Sequencer; 是 一 个 用 来 分 析 那 些 不 可 预知 的 应 用 程序 会 话 令 牌 和 重要 数据 项 的 
随机 性 的 工具 。 

CT) Decoder: 是 一 个 手动 执行 或 对 应 用 程序 数据 做 智能 解码 的 工具 。 

(8) Comparer; 是 一 个 实用 的 工具 ,通常 是 通过 一 些 相关 的 请 求 和 响应 得 到 两 项 数 
据 的 一 个 可 视 化 的 “差异 ”。 


14.2 安装 Burp Suite 


1421 环境 需求 


Burp Suite 需要 在 Java 环境 才 可 以 运行 ,所 以 首先 安装 Java JDK 或 者 JRE, Burp 
Suite 才能 正常 启动 。 这 里 提供 Java 官方 下 载 地 址 ,下 载 成 功 后 采用 默认 安装 即 可 。 
Java 下 载 地 址 为 http://java. sun. com/j2se/downloads. html, 


1422 安装 步骤 


先 下 载 安装 包 Burp Suite free vl. 6. jar, 建 议 下 载 免费 版 的 Burp Suite 进行 学 习 。 
下 载 地址 为 http://portswigger. net/burp/download. html。 如 图 14-2 所 示 , 单 击 Download 
now 按钮 下 载 安装 包 。 


Download Burp Suite 


Please choose the edition of Burp Suite that is right for you. Help me choose » 


Professional 
Free Edition Editi 


sleluownsal £3 


Burp Repeater 


Burp Sequencer 
Burp Decoder 
Burp Comparer 
Burp Intruder 
Burp Scanner 
Save and Restore 
Search 

Target Analyzer 


Content Discovery 


56019 器 


Task Scheduler 


Frequent updates, earier 


Release Schedule 
ü releases, beta versions 


Download 
now 


Buy now d 


图 14-2 ”下载 安装 文件 
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下 载 完成 后 ,双击 已 下 载 文件 或 在 cmd 下 设置 好 目录 之 后 运行 以 下 命令 就 能 够 启动 
Burp Suite: 


java - jar burpsuite free vl.6.01.jar 


14.3 工作 流程 及 配置 


Burp Suite 是 Web 测试 应 用 程序 的 最 佳 工具 之 一 ,其 多 种 功能 可 以 帮助 使 用 者 执行 
各 种 任务 ,请 求 拦 截 和 修改 .扫描 Web 应 用 程序 漏洞 ,以 暴力 破解 登录 表单 ,执行 会 话 令 
牌 等 多 种 随机 性 检查 。 

Burp Suite 能 高 效率 地 与 单个 工具 一 起 工作 ,例如 ,一 个 中 心 站 点 地 图 汇总 收集 目 
标 应 用 程序 信息 ,并 通过 确定 的 范围 来 指导 单个 程序 工作 。 处 理 HTTP 请 求 和 响应 
时 , 它 可 以 选择 调用 其 他 任意 的 Burp 工具 。 例 如 ,代理 记录 的 请 求 可 被 Intruder 用 来 
构造 一 个 自 定义 的 自动 攻击 的 准则 ,也 可 被 Repeater 用 来 手动 攻击 ,同样 可 被 Scanner 
用 来 分 析 漏 洞 ,或 者 被 Spider( 网 络 疏 虫 ) 用 来 自动 搜索 内 容 。 应 用 程序 是 “被 动 地 ” 运 
行 ,而 不 是 产生 大 量 的 自动 请 求 。Burp Proxy 相当 于 Burp Suite 的 心脏 , 它 通 过 拦截 、 
查看 和 修改 用 户 与 Web 服务 器 间 所 有 的 请 求 和 响应 ,引起 站 点 地 图 也 相应 地 更 新 。 由 
于 完全 控制 了 每 一 个 请 求 ,就 可 以 以 一 种 非 人 侵 的 方式 来 探测 敏感 的 应 用 程序 。 当 浏 
览 网 页 (取决 于 定义 的 目标 范围 ) 时 ,通过 自动 扫描 经 过 代理 的 请 求 就 能 发 现 安全 
漏洞 。 


1431 Burp Suite 框 架 与 工作 流程 


Burp Suite 支持 手动 的 Web 应 用 程序 测试 的 活动 ,可 以 有 效 地 结合 手动 和 自动 化 技 
AR ,可 以 完全 控制 Burp Suite 执行 的 所 有 行动 ,并 提供 所 测试 的 应 用 程序 的 详细 信息 和 分 
析 。 图 14-3 是 Burp Suite 的 测试 框架 图 。 

代理 工具 可 以 说 是 Burp Suite 测试 流程 的 心脏 , 它 可 以 通过 浏览 器 来 浏览 应 用 程序 ， 
捕获 所 有 相关 信息 ,并 轻松 地 开始 进一步 的 行动 。 


1432 配置 代理 


1. Burp Suite 配置 代理 

在 开始 使 用 Burp Suite 之 前 ,需要 配置 Burp Suite 代理 相关 的 选项 。 如 图 14-4 所 
示 , 在 Proxy 中 配置 代理 ,选择 Proxy 选项 卡 -Options 选项 卡 。 

选择 本 地 代理 ,默认 是 已 经 配置 好 的 ,如 果 端 口 有 冲突 ,可 以 修改 端口 ,如 图 14-5 
所 示 。 

2. 浏览 器 代理 配置 

在 Burp Suite 工 具 上 配置 完成 代理 后 ,还 需要 在 Windows 的 浏览 器 上 配置 Burp 
Suite 为 代理 服务 器 。 下 面 以 主流 的 浏览 器 为 例 ,分 别 介绍 几 个 浏览 器 配置 代理 的 
FR. 
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目标 范围 


认证 


会 话 处 理 


保存 /恢复 
Burp Burp 
扫描 器 转发 器 攻击 器 


任务 
调度 


图 14-3 ”测试 框架 图 


z E 
Wi Bur Suite Free Editing eee = [aT 
Burp Intruder Repeater Window Hep 


Target Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Optons | Aerts 
Intercept | HTTP history | WebSockets history 


(g) Pro» Listeners 
(9) Burp Proxy uses listerers to receive incoming HTTP requests fom your browser. You wil need to configure your browser to use one of the 
proxy sener. 


Add | Running |Inteface | misble | Redirect | Cerifcate | 
Mj 001990 O Perhost | 
5 
(aon) À 


Each installation cf Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL connections. You can im 
certificate for use in ther tools or another installation of Burp. 


图 14-4 代理 配置 界面 
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Ki Burp Suite Free Edition v1.6 


Burp Intruder Repeater Window Help 
Ta [ge] Sper [eme [ne | Repeater [Sequencer | Decoder [comparer | Extender | Options [Aes | 


tercept | HTTP history | WebSockets history. jose 


(2j Proxy Listeners 


B Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one of the 


proxy sever 
| 
| Add | |Running | Interface |Imisible | Redirect | Certificate 
[二 本 | 127.0.0.1:8080 L Per-host 
[Remove | 图 Edit proxy listener bj 


I Request handing | Ceritcate | 


(2) These settings control how Burp binds the proxy listener. 


Each installatio! 


certificate for us| Bind to port: 8080 


Bind to address: @ Loopback only 
O All interfaces 


(2) mereeptch © Specific address: [127.0.0.1 


图 14-5 配置 代理 


(D 在 Windows 的 Firefox 浏览 器 上 配置 代理 。 如 图 14-6 所 示 , 选 择 Firefox 右上 
角 的 “工具 ”>“ 选 项" 命令。 
@ Please Login - Mozilla Firefox -— 
XID S80 SEV mes) seg) Op aa 
[8] Please Login Ctrl 
€& Bwwwwebscantest.com/login.php A ACESA 


B 访问 最 多 | XM RSS CO 


Home | 国 SeleniumIDE Ctri+Alt+S 
Monitor with Fiddler 


Æ 14-6 Firefox 配置 代理 菜单 


如 图 14-7 所 示 ,选择 “高 级 ”>“ 网 络 ”>“ 设 置 ”>“ 手 动 配置 代理 ”, 输 入 localhost 作 
为 地 址 ,8080 作为 端口 ( 同 Proxy 的 端口 配置 ) , 单 击 “ 确 定 ” 按 钮 完成 代理 配置 。 

(2) 在 Windows 的 Google Chrome 上 配置 代理 。 打 开 Chrome 浏览 器 , 单 击 右上 角 
的 自 定义 和 控制 按钮 国 , 选 择 “ 设 置 " 命 令 , 如 图 14-8 所 示 。 

然后 单 击 “ 更 改 代理 服务 器 设置 ”按钮 配置 代理 ,如 图 14-9 所 示 。 

在 弹出 的 “Internet 属性 ”对 话 框 中 ,选择 “连接 ”>“ 局 域 网 设置 ”, 在 弹出 的 “局 域 网 
(LAN) 设 置 ”对 话 框 中 ,选择 “为 LAN 使 用 代理 服务 器 ”, 输 入 localhost 作为 地 址 ,8080 
作为 端口 , 单 击 “ 确 定 ” 按 钮 完成 代理 配置 ,如 图 14-10 所 示 。 


/ 
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@ INET - Mozilla Firefox = 
文件 


6 @ aboutcehome 


B 访问 最 多 U 炎 K 方 站 点 C 新 竹 上 路 U mama 四 | 过 Gwen e 


回 & 


WAS 村 和 页 AS 应 所 程序 m 


d Gm 
安全 


© xi 


O 自动 恰 测 此 网 络 的 代理 设置 (W) 
O 使 用 系统 代理 设置 J) 
9 手动 配置 代理 : M 
HTPRÆ: 09 127001 WD:(D sosok) 
[E] 为 所 有 协议 使 用 相同 代理 (S) 
SSLf 理 ; mp: oğ 
Erpf 理 : WD: os 
SOKSEW: 0 mmi oR 


© SOCKS v4 @ SOCKS y5 


图 14-7 Firefox 配置 代理 


Dj 

g 打开 新 的 标签 页 (T) Cul+T 
FREON) CtrleN 
打开 新 的 隐身 窗口 () Ctrl+Shift+N 
#28) » 
Ld SD) SAC) P) 
au - 10% + [I 
网 页 另存 为 (A)… Cults 
ERA.. Ctrl+F 
FIP). Ctrl+P 
IRW » 
历史 记录 (H) Cod+H 
TERASO) Cri) 
关于 Google Chrome(G) 
SERE) 
B400 


14-8 Google Chrome 配置 代理 菜单 


Æ 14-9 Google Chrome 配置 代理 
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Eneng ? x 
| 
aa [&& [BÀ [ug |5* ga [RÀ 下 
RH hemet km, $5 “设置 " 。 RET 
1 B BEE 
|| 指 呈 和 点 专用 网 络 设 畦 一 一 自动 配置 会 履 盖 手动 设置 。 委 确保 使 用 手动 设置 ， 请 禁用 自动 配 
dy AEG... E 
3 VBSÉNSEA 
ERG. 
MUS 0 THMBBZIEEREG) 
| aee... up 
IRESARERRGNRAS, BER EE . [EEO i 
代理 服务 嘎 
玩 为 LAN 使 用 代理 累 务 器 (这 些 设 置 不 用 于 找 号 或 YPN 连接 JO 
| 
RARO AX RR 地 址 (E): — localhost Xn 09 — ( gio ] 
[Epp pg | E] 
ban 


e M O | 


Æ 14-10 Google Chrome 配置 代理 


(3) 要 Windows 的 IE 上 配置 代理 , 按 住 Alt 键 , 会 显示 菜单 ,选择 “工具 ”Internet 
选项 命令 ,将 弹出 “Internet 选项 ?窗口 ,如 图 14-11 所 示 , 在 窗口 中 选择 “连接 ”>“ 局 域 网 
设置 (L)”, 如 图 14-12 所 示 。 


X) (E) ZEV iux) uiu EDH 
开除 浏览 历史 记录 (D)… Ctrl Shift«Del 
InPrivate 浏览 (1) Ctrl+Shift+P 
BERAK.. 


[eo] 


图 14-11 了 亚 配 置 代理 菜单 


在 弹出 的 “局 域 网 (LAN) 设 置 "窗口 里 ,选择 为 LAN 使 用 代理 服务 器 ,配置 地 址 和 端 
口 分 别 为 localhost 和 8080 ,完成 代理 配置 ,如 图 14-13 所 示 。 
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E LÀ Jil 
ns [ss Jus lam 
d ESE mure tit necem, 
把 和 上 机 专 用 93 设置 


添加 四- 


[TN 
如 果 要 连接 配置 代理 服务 器 ， 请 寺 择 “设置” SEG 


Bii iR = 


Aa ae 


局 域 网 (LAN) 设 置 x 


自动 配置 
BHENSSES JEN: 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 


自动 检测 设置 (A) 
使 用 自动 配置 脚本 (3 
HHE) E | 


代理 服务 器 
H LAN 使 用 代理 服务 器 (这 些 设置 不 用 于 拨号 或 VPN X909 


地 址 (E): localhost 端口 (D: 8080 BAO 


确定 取消 | 


图 14-13 还 配置 代理 


14.4 Proxy 工具 


Burp Suite 的 所 有 工作 都 基于 代理 功能 。 单 击 Proxy 选项 卡 , 它 包含 4 个子 选项 卡 ， 
分 别 为 Intercept、HTTP history, WebSockets history 和 Options, 

(1) Intercept 选项 卡 为 拦截 设置 选项 ,如 图 14-14 所 示 。 单 击 Intercept is on 按钮 可 
以 选择 是 拦截 请 求 还 是 拦截 响应 。 单 击 Forward 按钮 可 以 将 响应 的 内 容 送 回 到 浏览 器 ， 
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单 击 Drop 按钮 则 不 会 将 响应 送 回 。 单 击 Action 按钮 可 以 拦截 选择 之 后 的 操作 。 下 面 的 
Raw、Params、Headers、Hex 选项 卡 可 以 切换 所 显示 的 内 容 。 


Burp intruder Repeater Window Hep 


Tee [men [e [Se [ure one [Senece [tci [e [ncn [ ers | nes 
MEEA 


BARBRA | 
Æ 14-14 Intercept 选项 卡 


(2) 在 HTTP history 选项 卡 里 可 以 看 到 HTTP 请 求 的 历史 ,用 户 可 以 过 滤 或 者 用 


右键 菜单 高 亮 或 注释 自己 所 需要 的 记录 。 单 击 Filter 域 ,可 以 选择 要 过 滤 的 内 容 ,如 
图 14-15 所 示 。 


Burp Intrucer Repeater Window Help 
Torget 


Spider | Scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Extender | options | Alerts 


[e fme vaso {onon | 


Fiter: Hiding CSS, image and general tinary content 


图 erty reuestipe Fiter by MME type 
f 1f 


Fiter by status code. 
h 
(g) | E Stow onyin-scope tens gH. Ø Obertet E 2vx [success] 
| C Hide tems without responses 国 Scr O mges Œ 3» [redirection] 
O Show only parameterized requests | | G] XUL 国 Fish 国 xx [request error) 
| || B css 0 onerbnay | | @ Srx Iservererod 
Fiter by search term Fiter by fie extension Fiter by annctation Fiter by listener. 
| f | 
| E Show only. | aspaspxisp.php. E Show only commented tems 
| B Regex 一 一 一 一 一 一 
O Hide ' 9f pg png css E Show only highlighted tems z 
| © Case senstive E Negative search niei l | 


图 14-15 HTTP history 选项 卡 


选择 特定 的 记录 后 右 击 , 可 以 在 快捷 菜单 中 选择 高 亮 或 注释 相应 的 记录 ,如 图 14-16 
所 示 。 


(3) 在 WebSockets history 选项 卡 里 能 够 看 到 WebSockets 请 求 , 其 功能 和 HTTP 
history 选项 卡 类 似 , 故 不 再 多 做 介绍 。 


p/ wol TRIB 


Intmrcapt ‘WebSockets hstory | Options 
Fher: Hag CSS, mage and genera bnan content 
Method | URL. 
ri 
E 
ar 
cr 
E 
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NES dico 
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ray- f Liamom | » 
Cache-Control: s0 Delete ten 


lomilla, ndovs YI 6.3; ) Apple] 026/41.0.2387. ari/81. 
out la/6. 0 tindons YT 6.3; WEE4) Maple] reg Chrone/41.0.2357. 134. SafarL/517.16 


Copy os curi commana | 


| 
| 
Acswpe: caxe /henl, application/ibtaléeml,application/z| Ciar history | 
) 


Save ten | 
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图 14-16 高 亮 和 注释 功能 


(4) Options 选项 卡 在 前 文中 已 进行 了 介绍 ,此 外 不 再 说 明 。 
用 户 也 可 以 在 浏览 器 中 查看 请 求 记 录 。 只 需 在 地 址 栏 里 输入 burp, 并 单 击 Proxy 
History 项 ,如 图 14-17 所 示 。 


Burp Suite Professional 


Proxy History 


Host _ ]Method Ju [Exenson |Modfied — 


hti Toemo tesíre net 


[3 [b demo esi net (GET Y [ [ 
[ fi oem emo wr ST 
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图 14-17 在 浏览 器 查看 请 求 记录 


14.5 Spider 工具 


Burp Spider 是 一 个 自动 获取 Web 应 用 的 工具 。 它 利用 许多 智能 算法 来 获得 应 用 的 
内 容 和 功能 。 用 户 只 需 在 HTTP history 选项 卡 中 选中 一 个 请 求 , 然 后 右 击 ,在 快捷 菜单 
中 选择 Spider from here 弹出 对 话 提示 是 否 将 所 选 内 容 添 加 到 爬 取 范围 内 ,选择 Yes, 程 
序 便 会 从 所 选 起 点 开始 爬 取 内 容 , 如 图 14-18 所 示 。 
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GET / HITP/1.1 

Host: demo.testfire.net 
Proxy-Connection: keep-alive 
Cache-Control: max-age=0 
IAccept: text/html,application ,image/webp,*/*;q*0.8 

37.36 (KHTML, like Gecko) Chrome/43.0.2357.134 S| 


Cookie: ASP.NET SessionIdst2dgc44Svrhkkkia4pxcifS5; amSessionId-107610313441 


图 14-18 FHER 


运行 过 程 中 ,切换 到 Spider 选项 卡 ,可 以 看 到 并 控制 程序 运行 的 状态 ,如 图 14-19 所 
示 。 也 可 以 事先 在 该 界面 配置 好 息 取 的 范围 。 


Spider Status 


Use these settings to monitor and control Burp Spider To begin spidering, browse to the target, 
I branch 


Requests made: 119 
Bytes transferred: 1,141,728 
Requests queued: 0 
Formsqueued 0 


Spider Scope 
(9) Use suite scope [defined in Target tab] 
© Use custom scope 


14-19 ”换取 管理 和 配置 


切换 至 Target 选项 卡 就 可 以 看 到 怜 取 的 结果 ,并 可 以 通过 右键 菜单 操作 那些 内 容 ， 
如 图 14-20 所 示 。 切 换 至 Scope FATET UEA EHE E. 
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14.6 Scanner 工具 


1481 Scame 使 用 介绍 


Burp Scanner 是 一 款 自动 寻找 Web 应 用 漏洞 的 工具 。Scanner 的 设计 是 为 了 满足 
Burp 的 用 户 驱 动 测试 工作 流 。 当 然 用 户 也 可 以 选择 将 Burp Scanner 视 为 和 大 多 数 漏洞 
扫描 工具 一 样 的 一 款 单 击 式 (one click) 扫 描 工具 ,不 过 这 样 会 有 很 多 整 端 。 推 荐 用 户 在 
驱动 测试 工作 流 中 使 用 该 工具 ,因为 这 种 使 用 模式 可 以 控制 每 条 请 求 或 者 响应 ,能够 帮助 
用 户 发 现 更 多 的 错误 。 

Scanner 有 两 种 扫描 模式 : 主动 扫描 和 被 动 扫描 。 主 动 扫描 是 指 程序 修改 用 户 的 初 
始 请 求 , 向 服务 器 发 送 大量 新 的 请 求 , 以 找 出 应 用 的 缺陷 ;被 动 扫描 则 不 会 向 服务 器 发 送 
新 的 请 求 , 而 是 根据 已 有 的 请 求 和 响应 来 推断 出 应 用 缺陷 。 默 认 情 况 下 ,工具 以 被 动 扫描 
的 方式 运行 。 
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在 Target 选项 卡 的 Site map 子 选 项 卡 中 或 者 在 HTTP history 选项 卡 选 中 一 个 主 
机 、 目 录 或 者 文件 , 右 击 可 以 在 快捷 菜单 中 选择 Do a active scan 或 者 Do a passive scan 
菜单 项 ,工具 就 会 开始 扫描 ,如 图 14-21 所 示 。 

切换 至 Scanner 选项 卡 ,可 以 看 到 并 控制 扫描 的 运行 情况 ,如 图 14-22 所 示 。 

切换 至 Results 子 选项 卡 ,可 以 看 到 扫描 结果 ,如 图 14-23 所 示 , 结 果 以 树 形 显 示 , 可 
以 选择 查看 漏洞 的 具体 位 置 以 及 修改 建议 。 
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图 14-21 进行 扫描 
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图 14-23 ”扫描 结果 


可 以 在 Live scanning 子 选 项 卡 中 设置 是 否 自动 进行 主动 扫描 或 者 被 动 扫描 ,也 可 以 
在 Options 子 选项 卡 中 设置 响应 的 扫描 选项 ,这 里 不 做 详细 解释 。 
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在 Results 子 选项 卡 中 选择 要 导出 的 内 容 ,并 右 击 ,在 快捷 菜单 中 选择 Report 
selected issues 菜单 项 ,如 图 14-24 所 示 。 


图 14-24 选择 导出 内 容 


报告 分 为 HTML 或 者 XML 格式 ,如 图 14-25 所 示 。 


国 eese t frat tor te report. 


em. 
Q9» 
ll Base64-encode requests and responses. 


Cancel | | Next 


图 14-25 选择 导出 格式 


选择 所 需 保存 的 内 容 , 输 入 保存 地 址 , 单 击 Next 按钮 ,如 图 14-26 所 示 。 


(Q) Sect he fe where me raport wade savea. 
Seed. 


Specify the te and structure to use in he report. 


Report ttie Burp Scanner Report 
oemn (o 

Tabie of contents eveis |2 M] 
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图 14-26 导出 选项 
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得 到 的 报告 样式 如 图 14-27 所 示 。 


Burp Scanner Report E BURP 


Summary 


The table below shows the number 
The reflects the Ikay pact of 
"he inherent reliability of he tech 


Wanita in denct godes. is aro esed srordog to ord as Hh Medi, Lon or nmaim 
'e aso dassified according to confidence as Certain, Firm or Tentative. This reflects 


Certain. Fim Tentative Total 
2 1 

a ERE e ， 
Low [LJ LJ 0 0 
w= 000 


The chart below shows the aggregated numbers of issues identified in each category. Solid colored bars represent issues with a confidence level of Certain, and the. 
bars fade as the confidence level falis. 


Number of issues. 
bo ob P. p pe de pope ps 


图 14-27 报告 样式 


14.7 Intruder 工具 


Burp Intruder 可 以 用 于 模糊 测试 .暴力 猜 解 .字典 工具 用 户 名 和 密码 破解 ,以 获取 用 
户 相 关 人 信息。 下面 用 测试 网 址 http://demo. testfire. net/ 作 为 实例 来 讲解 Burp Suite 字 
典 攻击 破解 用 户 名 和 密码 的 过 程 。 

该 网 站 公布 的 用 户 名 和 密码 分 别 为 jsmith 和 demo1234。 


1471 字典 攻击 步骤 


字典 攻击 步骤 如 下 。 

C) 用 刚刚 配置 好 代理 的 浏览 器 浏览 测试 网 址 http: / /demo. testfire. net ,此 时 确保 
Burp Suite 上 的 Intercept is off( 监 听 是 关闭 的 ) 为 可 用 状态 ,否则 浏览 将 被 拦截 ,不 能 正 
常 访问 ,如 图 14-28 所 示 。 


(ITI NE 


Burp Intruder. Repeater Window Help. 


图 14-28 Burp Suite 拦截 设置 
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(2) 待 页 面 跳 转 到 登录 界面 后 ,打开 Burp Suite 上 的 监听 功能 (Intercept is on)。 

(3) 输入 username 和 password, 并 且 单 击 Login 按钮 ,此 时 执行 的 登录 操作 将 被 
Burp Suite 监听 (第 一 次 可 用 正确 用 户 名 jsmith 和 密码 demo1234 登录 ,后 续 可 以 匹配 检 
iib ,如 图 14-29 所 示 。 


图 14-29 浏览 测试 网 站 
(4) 右 击 请 求 信息 ,在 快捷 菜单 中 选择 Send to Intruder 菜单 项 ,如 图 14-30 所 示 。 


Sockets hito 


Fitar: ng CSS, image and gerera binary content 


4 — Mip/amoissirend POST tani/ogn aspx 


Send to Soquencar 

Sand to Comparer 

Sand to Decoder. 

Show responso m browsor 

Reques in browsor D 
Engagement tools [Pro version on] > 

| 


图 14-30 Send to Intruder 菜单 项 


(5) 以 上 的 操作 会 将 请 求 信息 发 送 给 Intruder 模块 ,进入 Intruder 标签 ,配置 Burp 
Suite 来 发 起 暴力 猜 解 的 攻击 ,在 Target 标签 下 可 以 看 到 已 经 设置 好 了 要 请 求 攻击 的 目 
标 , 如 图 14-31 所 示 。 

(6) 进入 Positions 标签 ,可 以 看 到 之 前 发 送 给 Intruder 的 请 求 。Intruder 对 可 进行 
猜 解 的 参数 进行 了 高 亮 显示 ,如 图 14-32 所 示 。 在 猜 解 用 户 名 和 密码 的 过 程 中 ,要 求 用 户 
名 和 密码 作为 参数 不 断 改变 ,于 是 用 户 需要 相应 地 配置 Burp. 

(7) 单 击 右边 的 Clear 按钮 删除 所 有 待 猜 解 参数 。 接 下 来 需要 配置 Burp 在 这 次 攻击 
中 只 把 用 户 名 和 密码 作为 参数 ,选中 本 次 请 求 中 的 username( 本 例 中 用 户 名 是 指 admin) , 


| [i Burp Suite Free Edition v1.6 
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Burp Intruder Repeater Window Help 


Taget [ ss [ Spiser [ Scanner [indes Repeater | Sequencer | Decoder [ Comparer | Estender [ options | atens 
一 一 
[2 -]-] 
| Positions | Payloads | Options 
(2) Attack Target 
Configure the details of the target for the attack. 


Host: | demo.testfire net 


Port: |80 


E Use HTTPS 


14-31 设置 好 要 请 求 攻击 的 目标 


E Bum Suite Free Edition v1.6 — 
Burp Intruder Repeater Window Help 


n a 
(2) Payload Positions 


| Configure the positions where payloads wil be inserted into the base request. The attack type determines the way in 


Which payloads are assigned to payload positions - see help for full details. 


Attack type: | Sniper. 图 


POST /bank/login.aspx HTTP/1.1 4| (aag 
Host: demo.testtire.net 

User-Agent: Mozilla/S.0 (Windows NT 6.1; WOWE4; rv:24.0) 

Gecko/20100101 Firefox/24.0 Clear § 
Accept: 

text/heml, applicat ion/xheml+xnl, application/xml;q-0.9, */*;q-0.8 Auto§ 
Accept-Language: zh-cn, zh;q"0.8, en-us;q"0. 5, en; q*0.3 

Accept-Encoding: gzip, deflate 

Referer: http://demo. test fire.net/bank/login.aspx Refresh 
Cookie: ASP.NET Sessiontds : 

lanSessionIé- i: 


lamUser Info" 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 33 


sid RR pass v- BEER cot rsum: + -OTS 


" 
2: [9] [o] [1o Type a search tem Omatches | Clear 
L 
| 6 payload positons Length: 624 


14-32 Positions 选项 卡 


然后 单 击 Add 按钮 。 同 样 将 本 次 请 求 中 的 password 也 添加 进去 。 这 样 操作 之 后 ,用 户 
名 和 密码 将 会 成 为 第 一 个 和 第 二 个 参数 。 一 旦 操作 完成 ,输出 应 该 如 图 14-33 所 示 。 
(8) 选择 攻击 类 型 。 在 Attack type 选项 里 有 4 种 攻击 方式 ,分 别 是 Sniper, 
Battering ram,Pitchfork 和 Cluster bomb。 下 面 分 别 介绍 各 种 攻击 类 型 的 含义 。 
*. Sniper 攻击 类 型 需要 一 个 负载 集合 (字典 ) ,这 种 类 型 基于 原始 请 求 ,每 次 用 负载 
集合 中 的 一 个 值 去 替代 一 个 待 攻 击 的 原始 值 ,产生 的 总 共 请 求 数 为 待 攻击 参数 个 
数 与 负载 集合 基数 的 乘积 。 这 种 攻击 类 型 在 需要 模糊 攻击 的 时 候 使 用 。 比 如 用 
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r 


(2j Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in 
which payloads are assigned to payload positions - see help for full details. 


Attack type: [Sniper B 


POST /bank/login.aspx HTTP/1.1 a 


Host: demo.testfire.net 一 一 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOWÉ4; rv:24.0) 

Gecko/20100101 Firefox/24.0 Clear $ 
Accept: — 


text/html, application/xhtmléxml,application/xml;qe0.9,*/*;q-0.8 Auto $ 
Accept-Language: zh-cn, zh;q-0.8, en-us;q-0.5,en;q-0.3 

Accept-Encoding: gzip, deflate D 
Referer: http://demo.testfire.net/bank/login.aspx Refresh 
Cookie: ASP.NET SessionIdeptvfcbrpSaohmáSSxfvkkcrl; 

lanSessionId«172136325611; 

lanüser Info»UserName-TERtaV4" Passwords YVRtaV4- 

Connection: keep-alive 

Content-Type: application/x-vww-form-urlencoded 

Content-Length: 


uid- SEAMS pass -AS cbcnsubmit-Login 


(2) L fea (E) [e a search tem O matches | Clear 


2 payload positions Length: 616 


14-3 添加 用 户 名 和 密码 界面 


户 输入 的 原始 请 求 中 username a. passwd 二 b, 而 选用 的 负载 集合 为 {1,2) ,那么 
将 会 产生 4 个 新 的 请 求 , 分 别 是 

username— 1 , passwd— b 

username— 2. passwd — b 

username a; passwd— 1 

username— a. passwd —2 

Battering ram 攻击 类 型 需要 一 个 负载 集合 (字典 ) ,这 种 攻击 类 型 会 将 负载 集合 里 
的 每 个 值 同 时 赋 给 所 有 的 参数 ,最 后 所 产生 的 请 求 数 是 负载 集合 的 基数 。 上 例 的 
情况 变 为 

username=1, passwd=1 

username—2, passwd—2 

Pitchfork 攻击 类 型 需要 的 负载 集合 的 个 数 等 于 待 破解 参数 的 个 数 (最 大 值 为 20 
个 ) ,这 种 攻击 类 型 需要 给 每 个 参数 指定 一 个 负载 集合 ,每 个 请 求 是 由 每 个 参数 轮 
流 取 各 自负 载 集合 里 的 值得 到 的 。 由 于 负载 集合 的 基数 大 小 可 能 不 一 样 ,最 后 所 
有 请 求 的 个 数 由 负载 集合 基数 的 最 小 值 决 定 。 如 果 用 户 输入 的 原始 请 求 中 
username—a, passwd— b, payloada— (1 .2) ,payload2 二 {3,4,5) ,那么 会 产生 两 
个 请 求 ,分别 是 

username— 1 , passwd—3 

username— 2, passwd —4 

Cluster bomb 攻击 类 型 需要 的 负载 集合 的 个 数 也 等 于 待 破解 参数 的 个 数 (最 大 值 
为 20 个 ) ,和 上 一 种 攻击 类 型 类 似 , 这 种 攻击 类 型 需要 给 每 个 参数 指定 一 个 负载 
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集合 ,但 是 最 后 生成 的 所 有 请 求 是 各 个 参数 取 值 的 所 有 组 合 ,产生 的 请 求 个 数 是 
所 有 负载 集合 基数 的 乘积 ,这 种 攻击 类 型 最 为 常用 。 如 果 用 户 输入 的 原始 请 求 中 
username—a, passwd — b. payloada — (1 .2) . payload2 — (3.4.5) ,那么 会 产生 6 
个 请 求 ,分别 如 下 : 


username— 1 , passwd — 3 


username— 1 , passwd—4 
username— l , passwd—5 
username— 2, passwd—3 
username— 2, passwd—4 
username—2, passwd—5 
(9) 进入 Payloads 子 选项 卡 ,选择 Payload set 的 值 为 1, 单 击 Load 按钮 加 载 一 个 包 
含 诸多 用 户 名 的 文件 (自己 准备 )。 本 例 使 用 一 个 很 小 的 文件 来 进行 演示 ,加载 之 后 文件 
中 的 用 户 名 如 图 14-34 所 示 。 


Burp Suite Free Edition v1.6 [eH X 
Burp Intruder Repeater Window Help. 


Target | Proy | Spider | Scanner | 
Repeater Sequencer Decoder Comparer Extender Options Alerts 
mA 
[rp | Postens tn [s 


Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the 
Positions tab. Various payload types are available for each payload set, and each payload type can be customized 
in diferent ways 


Payload set: (1 国 Payioad count: 5 
Payload type: [Simple list E Reest count: 10 


Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 


Paste | [admin 


administrate 
m 

二 
Remove jsmith 


Add | | Enter a new item 


Add from fist [Pro version only = 


H 14-34 iR E Payloads 界面 1 


用 户 也 可 以 新 建 一 些 规则 对 负载 集合 中 的 值 进行 预 处 理 , 比 如 加 前 缀 ,如 图 14-35 所 
示 。 还 可 以 选择 是 否 对 特殊 集合 进行 编码 。 

(10) 同样 设置 Payload set 的 值 为 2, 单 击 Load 按钮 加 载 一 个 包含 密码 的 文件 (自己 
准备 )。 加 载 之 后 如 图 14-36 所 示 。 
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() Parload Processing 


You can define rules to perform various proces 


(Q) Erter the detas tite peyenà processing rute. 


TETEE 


(8) Parload Encoding 
This setting can be used to URL-encede selected characters within the final payload, for safe transmisson within HTTP requests. 


@ URL-encode these characters: | 人 re? 人 


14-35 MARSAH 


| EUER 5 —M— 


Burp hinder Repeater Wincow Help. 


(2) Payioad Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various 
payload types are available for each payload set, and each payload type can be customized in diferent ways. 


Payload set: [2 j) Palos com 7 
Payload type: [Simple list 国 Request count: 35 


(g) Payload Options [Simple tist] 
This payload type lets you configure a simple list of strings that are used as payloads. 


Paste | | abceed 
— MÀ 
Load. | | password 
ad » 
i-i 
(Gur em 
Add... [Enter a new item 


Add fon list. [Pro version on] B 


图 14-36 设置 Payloads 界面 2 


(OD 设置 完成 后 ,进入 Options 子 选项 卡 ,确保 Attack Results 下 的 Store requests 
和 Store responses 已 经 选择 ,如 图 14-37 所 示 。 
(12) 选择 左上 角 的 Intruder>Start attack 菜单 项 开始 攻击 ,如 图 14-38 所 示 。 


1472 字典 攻击 结果 


开始 攻击 后 ,会 看 到 弹出 一 个 Windows 窗口 ,其 中 有 制作 好 的 所 有 请 求 。 
如 何 确定 哪 一 个 登录 请 求 是 成 功 的 呢 ? 成 功 的 请 求 与 不 成 功 的 请 求 有 不 同 的 响应 状 
态 。 在 这 种 情况 下 ,用 户 看 到 的 用 户 名 admin 和 密码 admin ,jsmith .demol1234 的 响应 长 
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Bur Intruder Repeater Window Help 


Target | Proxy | Spider | Scanner 
ix 
Target | Positions | Payloads 


Repeater | Sequencer | Decoder | Comparer | Extender | Options | Aerts 


Throtle (miliseconds): @ Fixed 0 


9 Vanabe stat | step 30000 


Start time: 图 mmedately 
Qn 10 minutes 


© Paused 


(2) Attack Results. 


四 These settings control what information is captured in attack resuls. 


国 Store requests. 
国 Store responses. 
国 Make unmodified baseline request. 

E Use denialofseice mode (no results) 
E Store full payloads 


14-37 


E Burp Suite Free Edition v16 
Buy Repeater Window Help. 


i£ E Results 界面 


Actively scan defined insertion points [Pro version only] 


Ta 
1 
Targ Send to Repeater 


Decoder | Comparer | Extender | Optons | Alerts 


Save attack config [Pro version only) 

Load attack config [Pro version only) 

Copy attack config 

New tab behavior 

Automatic payload postions 

Configure predefined payload lists [Pro version only] 
O Paused 


ETEN 
z 
s 


Attack Results. 


These settings control what information is captured in attack results. 


(&) &) 


E Store requests. 

E Store responses. 

国 Make unmodised baseine request 

E Use denialofsenice mode (no results) 
I E Store ful payloads 


图 14-38 ”开始 攻击 


度 相 比 很 接近 , 且 同 其 他 请 求 的 响应 长 度 相差 很 远 , 则 可 以 把 (admin,admin) 拿 出 来 登录 


试 试 ,如 图 14-39 Bros ,登录 成 功 。 


经 过 这 样 的 操作 ,用 户 就 找到 了 该 网 站 的 另 一 个 用 户 名 和 密码 。 这 里 加 载 的 用 户 名 
和 密码 的 文件 是 由 用 户 自己 准备 的 ,可 以 从 网 上 下 载 字典 文件 ,生成 更 多 的 用 户 名 字典 和 
密码 字典 以 帮助 破解 。 同 样 ,如 果 知道 用 户 名 ,但 不 知道 密码 ,就 只 需要 将 密码 作为 参数 


进行 破解 。 
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[TIE [STET] 
Altack Save Columns 

[Resurs | Target | Positions | Payloads | Options 

Filter: Showing al tems e 
EZ |Payoad2 [Staus  |Emor |Tmeou|Lengh — | Comment 

administrator password p W Lj 8 

13 user password 200 B Bg sn 

“ anonymous password 200 B G8 

15 jsmith password 200 国 gu 

46 admin admin 302 U a 

17 administrator admin 200 e E 

18 user admin 200 B g 

19 anonymous admin 200 B8 B8 

20 jsmith admin 200 B 国 

2 admin 1234 200 e g 

2 administrator 1234 200 B 8 

23 user 1234 200 B S 

24 anonymous 1234 200 B 8 

25 jsmith 1234 200 B su 

26 admin demo1234 200 e ga 

27 administrator demo1234 200 © gag 

28 user demo1234 200 e u 

29 anonymous demo1234 200 B G8 

30 jsmith demo1234 302 NT 

E] admin 200 B mg 

SA on oa 


图 14-39 字典 攻击 结果 界面 


14.8 Repeater 工具 


Burp Repeater 可 以 帮助 用 户 有 效 地 进行 手动 测试 。 选 择 好 需要 修改 的 请 求 , 右 击 ， 
在 快捷 菜单 中 选择 Send to Repeater 菜单 项 ,可 将 需要 修改 的 请 求 发 送 至 Repeater 模块 ， 
如 图 14-40 所 示 。 


intercept WebSockets history | Options. 


1 

2 —— hifpilzh-cn.appex-rt msn.com 

3 —— hip/lzh-cn.appex-rt msn.com 

4 —— Mipl/zh-cn.appex-r.msn.com 

S — hitpifzh-cnappexrtmsn.com | Doan active scan 'cgve. 
6 — hitpi/zh-cn.appex-rt msn.com 

7 —— hipilzh-cn.appex-rmsn.com 

8 — hifpi/finance services appex -&cont. 
9 — hitpilconfig pinyin.sogou.com 
10 — hitp//183606245 
http//cloud xmp kankan com 


aaaaaaaaae 
ooooooooogo 羡 医 


图 14-40 发送 到 Repeater 


切换 到 Repeater 选项 卡 后 ,用 户 可 以 手动 修改 请 求 ,在 界面 底 端 有 过 滤 功 能 ,能 高 亮 
显示 用 户 输入 的 内 容 , 如 图 14-41 所 示 。 
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ge [5 [tn scame T etr tnnt [en [|n mn [ene nns [ee 


(m) omm] € (nl Target Mtpióemosestirenet [A] [P] 


Request Response. 


keep-alive 
Mutal application/xbtml tzn, applicetion/xalsg-0.5, image/webp,"/^ 53-0. 


Mosilla/S.D (Windows NT €.3; WOWS4) AvpleWebzit/537.36 
Gecko] Chrome/42.0.2357.134 Satari/537. 16 


zh;q0. 8 
ASP.NET, Sessionlést2dgeliSvrhbialpaci 857 
mIa-i0z6i0212441 


g 
2j (69 (9) 一 mm | (3 (9) 9) (9) m ma 


14-41 修改 和 过 滤 功 能 


修改 完成 后 单 击 Go 按钮 ,在 右边 的 窗口 能 够 看 到 响应 报 文 ,如 图 14-42 所 示 。 


1a/5.0 (indows NT 6.3; WOWS4) AppleWebtit/E27.26 
| Carcme/43.0. 2357.134 Safari/S17.16 
ach 


a (669 i) i) te 


图 14-42 ”响应 报 文 


14.9 Sequencer 工具 


Burp Sequencer 是 一 款 用 来 测试 会 话 令 牌 随机 性 的 工具 , 它 基于 统计 学 的 假设 检验 ， 
在 这 里 不 对 原理 进行 详细 介绍 ,有 兴趣 的 读者 可 以 参考 帮助 文档 。 

下 面 给 出 一 个 用 Sequencer 攻击 来 测试 的 实例 。 启 用 Burp 拦截 功能 ,重启 浏览 器 
(为 了 让 服务 器 生成 一 个 SessionID) ,在 地 址 栏 输入 demo. testfire. net, 在 HTTP history 
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子 选项 卡 中 找到 记录 ,选中 并 右 击 ,在 快捷 菜单 中 选择 Send to Sequencer 菜单 项 ,如 
图 14-43 所 示 。 


ET / HTTP/1.1 


图 14-43 发送 到 Sequencer 


切换 至 Sequencer 选项 卡 后 , 单 击 Start live capture 按钮 (有 时 候 需 要 进行 配置 , 选 
择 要 测试 的 项 ,这 里 不 需要 ) 就 能 开始 获得 随机 数据 ,如 图 14-44 所 示 。 当 然 用 户 可 以 手 
动 上 传 测试 数据 ,或 者 设置 分 析 选 项 。 


一 
Target | Proxy | Spider | Scanner | intruder | Repeater Decoder | Comparer | Extender | Options | Alerts 


Manualload | Analysis options. 


图 Select Live Capture Request 
Send requests here from other tools to configure a ive capture. Select the request to use, configure the other options below, then 


(eme) i 


Start ive : 


图 Token Location Within Response 


Select the location in the response where the token appears. 


Cooke: ASPNET, Sessonié-usopuptiabglvopuup. (P) 
Fomfed — | i 


© Custom location Lento | 


图 14-44 捕获 配置 界面 


单 击 Start live capture 按钮 后 就 会 弹出 图 14-45 所 示 的 界面 , 待 请 求 数 超过 100 就 
能 开始 分 析 。 当 然 ,请 求 数目 越 多 ,分 析 的 结果 越 准确 。 
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图 He capture (130 tokens) 


Pause Copyitokens |  ( Auto analyze (next: 200) Requests: 130 


(C stop [see | | Awayzenow es o 


Summary  Characterievelanasis Bt-evel analysis Analysis Options | 


14-45 ”捕获 时 的 界面 


单 击 Analyze now 按钮 ,程序 就 开始 分 析 , 用 户 会 看 到 相应 的 结果 ,如 图 14-46 所 示 。 
系统 会 进行 不 同 层 次 的 分 析 , 可 以 单 击 相应 的 标签 进行 切换 。 


(2) wecapurepaused) -一 
Resume Copylokens | © Auto ansyze (next 2000) Requests: 1690 


(è stop) (mette) [Anayzenw | Errors: 0 


Character-evel analysis. | Bi-evel aralysis | Analysis Optons 


Significance level 
>01% 


Reliability 


The analysis is based on a sample of 1630 tokens, Based on he sample size, the retabity of he resus s: reasonable. 


图 14-46 ”分析 结果 界面 


14.10 Decoder 工具 


Burp Decoder 工具 可 以 用 来 编码 和 解码 ,可 以 以 文本 和 十 六 进 制 两 种 方式 显示 。 初 
始 界面 如 图 14-47 所 示 。 

将 待 编码 内 容 输入 到 文本 框 ,然后 单 击 Encode as 下 拉 选 项 框 ,就 能 选择 进行 相应 的 
编码 ,以 将 & 编码 成 HTML 为 例 , 图 14-48 显示 了 编码 结果 。 
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Target | Proxy | Spider | Scanner | truser | Reposter | Sequencer Comparer | Extender | Optors | Aerts 


| @ Tet Que (2] 


图 14-47 初始 界面 


Target | Proxy | Spider | Scanner | rtrder | repeater | sequencer Corparer | Extender | options | aens 


A 14-48 ABAR 


将 上 述 内 容 解码 , 单 击 Decode as 下 拉 选 项 框 进行 选择 ,或 者 直接 单 击 Smart decode 
按钮 ,结果 如 图 14-49 所 示 。 


Tuyet [ Pro | pe | somer [vtr | eposter [ senec onn | corr [ter [ on [nur 


em ote 


图 14-49 解码 结果 


14. 11 Comparer 工具 


Burp Comparer 能 够 帮助 用 户 找 出 两 份 数据 之 间 的 不 同 。 用 户 可 以 将 需要 比较 的 文 
件 上 传 或 者 粘贴 到 对 应 的 区 域内 ,该 工具 将 自动 复制 一 组 数据 样本 ,用户 可 以 从 两 个 数据 
样本 中 选择 需要 进行 比较 的 数据 , 单 击 Compare 下 面 的 Words 或 者 Bytes 按钮 从 不 同 层 
面 开始 比较 ,如 图 14-50 所 示 。 

最 终结 果 会 以 不 同 的 颜色 显示 出 各 种 类 型 的 变化 : 橙色 表示 修改 ,黄色 表示 添加 , 蓝 
色 表示 删除 。 显 示 结 果 也 可 以 在 文本 和 十 六 进 制 之 间 切 换 , 如 图 14-51 所 示 。 
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Comparer. 图 

Ti tci s yd vorrei ben dera You bad pss rsené abr Pond d md e ded e congr y wart peo. 

pte 

* [3 Data Faste 

n B wes 

5 7? Web Security. int 
ES] 
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— 

: [im Jous 
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E = € 
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Cm] 
Les | 

A 14-50 导入 数据 

x EEE E 

4 x 

E 1 L3 me 

图 14-51 比较 结果 


14.12 本 章 小 结 


Burp Suite 界面 友好 ,功能 强大 。 它 所 包含 的 各 个 工作 模块 紧密 结合 ,构成 一 个 完整 
的 工作 流 。 用 户 可 以 用 Proxy 工具 拦截 请 求 和 响应 ,用 Spider 工具 疏 取 应 用 的 内 容 和 功 
能 ,用 Scanner 工具 进行 两 种 模式 的 漏洞 扫描 ,用 Intruder 进行 用 户 名 和 密码 的 猜 解 ,用 
Repeater 工具 进行 手动 攻击 ,用 Sequencer 工具 来 进行 会 话 令 牌 随机 性 的 检测 。 除 此 之 
外 ,Burp Suite 还 自 带 解码 器 和 比较 器 ,能 够 给 用 户 的 测试 提供 很 大 的 便利 。 

Burp Suite 在 使 用 之 前 要 进行 代理 配置 。 首 先 要 配置 Burp 为 代理 服务 器 ,如 果 要 用 
Burp 进行 请 求 和 响应 的 拦截 ,还 要 对 浏览 器 进行 配置 。 

Burp Suite 最 强大 的 两 个 功能 是 Scanner 和 Intruder。 虽 然 可 以 将 Scanner 当成 一 
个 自动 扫描 漏洞 的 工具 来 使 用 ,但 是 这 种 使 用 方式 有 很 多 准 端 ,所 以 不 被 推荐 。 用 户 应 该 
考虑 将 该 工具 用 在 Burp Suite 以 用 户 驱 动 的 方式 来 使 用 。 它 支持 主动 扫描 和 被 动 扫描 两 
种 方式 , Intruder 能 够 帮助 用 户 方便 地 破解 用 户 名 或 者 密码 ,支持 字典 攻击 和 暴力 破解 
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等 。Intruder 还 设置 了 4 个 攻击 模式 ,可 供用 户 按 需 选择 ,另外 还 设置 了 字典 预 处 理 等 强 
大 的 功能 。 

Burp Suite 是 一 个 功能 非常 强大 的 套件 ,要 将 它 用 得 熟练 ,仅仅 了 解 本 章 的 内 容 是 远 
远 不 够 的 。 如 果 使 用 者 对 该 工具 的 某 些 细节 还 是 不 太 清楚 ,可 以 查看 帮助 页 面 或 者 官方 
网 站 。 该 工具 的 文档 非常 齐全 ,对 用 户 有 很 大 的 帮助 。 


. IR Burp Suite 的 工作 流程 。 

. 简 述 Burp Suite 和 浏览 器 的 配置 。 

. 简 述 Scanner 和 Intruder 主要 功能 。 

. 简 述 Repeater 手动 攻击 方法 和 其 他 小 工具 的 使 用 。 
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